[решено] правила паролей для администраторов домена AD

Добра всем! :)

Возникла забавная ситуация. Не могу отключить для администраторов домена/предприятия требование сложности пароля и минимальной длины. Понимаю что не секурно, но я хочу узнать как изменить это из чистого любопытства.

У меня домен AD на Windows 2008 R2

Итак, в default_domain_policy в разделе конфигурирования компьютера, безопасность, стоят параметры:
- минимальная длина пароля 3
- требования к сложности отключены
- хранить историю паролей 3
Создаю администратора, пытаюсь сменить пароль - получаю ответ, что пароль не проходит по требованиям безопастности, либо длины, либо истории.

Создаю PSO с такими же настройками. Указываю msDS-PSOAppliesTo все группы Администраторов, и даже конкретного администратора. Проверяю - в аттрибутах прописалась нужная PSO.

Залогиниваюсь под администратором и пытаюсь сменить пароль - получаю тоже самое сообщение про небезопасный пароль.

ЧТо я делаю не так? У простого пользователя домена таких проблем нет.