Не меняется сложность пароля в домене
 

Имеется контроллер домена на WS 2012 Datacentr, клиенты на Win 7 и Win 8.
Меняю через групповую политику требования к сложности пароля:
Password must meet complexity requirements - Disabled
Minimum password length - 3
Minimum password age - 0
Maximum password age - 180
Enforce password history - 0

На клиенте проверяю применение политики через RSoP, вижу, что изменения вступили в силу.
Пытаюсь изменить пароль, допустим на 12345, но получаю предупреждение, что пароль не соответствует минимальным требованиям. При этом, изменить на пароль с требованием сложности по умолчанию дает.

В чем может быть проблема?

Stelth19, проверяйте область применения политики

А вообще, существует достаточно гибкий механизм дифференциации политик паролей - линк

astomper7 - спасибо, что откликнулись...

Редактирую default domain policy. Вижу, что на клиенте политика применяется, но по какой причине не могу поставить пароль, соответствующий установленной политики, понять не могу.

Статья познавательная, и вероятно в будущем может полезна, но на данный момент дифференциации политик паролей не нужна, да и хочется понять, что у меня не так.

Может для выяснения причины нужна еще какая-то информация от меня?

з.ы. опыта работы с политиками пока мало, прошу не пинать больно, если я где-то что то не правильно сформулировал.

Может быть глупое уточнение, но клиент был перезагружен после изменения политик? А с другими клиентами как дела?

gpupdate /force на клиенте, либо перезагрузка, хотя редактировать дефолтную доменную политику лучше не надо. Проверьте еще раз - к тому ли OU прилинкован gpo с паролями.

Необходимо редактировать политику Default Domain Controllers Policy.

???...

А зачем перегружать клиента? Был сделан gpupdate /force, и как вы, надеюсь, прочитали, политики у меня применились, что видно из консоли RSoP на клиенте.

Как раз в этом случае и рекомендуют редактировать дефолтную доменную политику, хотя для подстраховки я создал еще одну с теми же настройками и специально прилинковал ее к той OU, где находятся клиенты.

Вы хотите сказать, что мне нужно применить политику к DC, а не к клиентам?

Уважаемые, еще раз прошу, обратите внимание - Политика применяется к клиенту, это видно из консоли RSoP на клиенте

Для уверенности. Это очень сложное действие?

Stelth19, проверьте в таком случае, что в фильтрах стоит - Прошедшие проверку, плюс проверьте, что редактируемая дефолтная доменная политика стоит в списке ГПО, прилинкованных к домену, на первом месте.

Если я правильно понимаю, это не так, но все же и ее привел в те же настройки - не помогло

Для успокоения души перезагрузил - не помогло (

Фильтр по умолчанию - Авторизованные пользователи. Если учесть, что настройки Password Policy находятся в Computer Configuration, то этот фильтр и не должен влиять на настройки клиента (Если я конечно правильно понимаю)
WMI фильтр не установлен
Редактируемая дефолтная политика прилинкована третьей (последней) по списку, если я правильно понимаю, она применятся последней и перекрывает настройки предыдущих двух. Хотя, эта же политика применяется и первой ко всем клиентам домена по умолчанию, даже если она специально не прилинкована. (Опять же поправьте меня, если я не прав)
Ну и в итоге, если бы был фильтр не дающий применяться политике или политика бы была не правильно прилинкована, то я бы не увидел на клиенте изменений нужной мне политики.

Да, еще добавлю, что на DC, при попытке изменить пароль учетки клиента через Reset Password, мне так же не удается задать пароль отличающийся по сложности по дефолту

Если нет, то переместите, потом gpupdate /force

Первой применяется local policy, потом site policy

Да я неправильно написал, правильно политика паролей должна задаваться на уровне домена и обязательно применяться к OU Domain Controllers - это правило было верно до появления AD DS Fine-Grained Password. Смотрите свои настройки так как политика Fine-Grained Password настроенная на уровне домена перезапишет все Ваши политики паролей заданные через Default Domain Policy. Посмотрите не применяется ли у Вас к вашим пользователям политика Fine-Grained Password командой:
dsget user "CN=username,CN=userOU,DC=contoso,DC=com" -effectivepso .

Переместил - без результата

local policy - применяется ко всем компьютерам домена??? Или я все же чего то не понимаю, или эта политика локальная, т.е. применяется только к ПК, на котором расположена.
site policy - это где такая политика в 2012?


И все таки, чего я не понимаю, на клиенте применяется политика, но по каким то причинам она не работает. Как такое может быть? Я не увидел ни одного комментария именно по этому поводу.

Результат команды - dsget succeeded. Т.е. политика Fine-Grained Password, я так понял, не применяется.

Покажите скрин с вкладкой Область дефолтной доменной политики. и результат gpresult /v покажите

Скрин выполнения команды покажите.

Прикрепил

Stelth19, зачем вы прилинковываете DDP к OU. Проще говоря, в Location не должно быть никаких OU - только ваш домен Lab-Petr.net

Это уже результат экспериментов

сделайте - все будет работать, да и DDCP должна применяться только к контейнеру Domain Controllers.

Да, действительно, DDP применил только к домену, DDCP применил только к DC и о чудо, изменяя политику DDP относительно требований к паролю, у меня работают эти требования на клиенте. Странно, но первоначально, когда я начал плясать с бубном, по умолчанию вроде бы так и было, хотя, могу и ошибаться.

Спасибо большое за помощь!!!

Но, теперь возник другой вопрос - Изменяя DDP, у меня изменяется Local Policy на DC и наоборот, поменяю Local Policy на DC, меняется DDP. Разве так должно быть? Тем более, что у меня в DDCP совсем другие требования к паролю и именно эти требования должны применяться на DC. Я ошибаюсь?

Новая ссылка на статью http://blog.it-kb.ru/2011/01/17/ad-d...-objects-psos/