GPO, применяется но не работает
 

Всем привет!
Помогите решить проблему, плз!

Домен на Win2k3 SP2
В Default Domain Policy установил следующие параметры:

Enforce password history - 24 passwords remembered
Maximum password age - 90 days
Minimum password age - 45 days
Minimum password length - 8 characters
Password must meet complexity requirements - Enabled
Store passwords using reversible encryption - Disabled

Политика не работает, могу сменить пароль на любой, 2-3 символа или вообще пустой.

Если смотреть результирующую политику на ПК через RSOP.MSC , то все параметры на ПК установлены. В логах ошибок применения политик тоже нет.
Если смотреть результирующую политику с контролера домена (для этого же ПК и этой же учетки), то там красные кресты на эти параметры политики показывает.

На ПК смотрел лог C:\WINDOWS\security\logs\winlogon.log

Сегодня там вот что написано:
"
29 сентября 2009 г. 11:01:34
Копирование восстановленных значений в объединенную политику.
----Модуль конфигурации инициализирован успешно.----
----Чтение данных шаблона конфигурации...
----Настройка политики безопасности...
Настройка параметров паролей.
Настройка принудительного выхода из системы для учетных записей.
Настройка системного доступа выполнена успешно.
Настройка аудита/протоколирования выполнена успешно.
Настройка значений разделов реестра выполнена успешно.
----Настройка доступных модулей дополнений...
Настройка модулей дополнений выполнена успешно.
----Деинициализация модуля настройки...
это последний GPO.
"

Подскажите куда смотреть? Что пытаться исправить?

P.S. юзал поиск, нашел подобную проблему , но там автор не указал как ее решил.

GPMC - modeling или Results. Возможно, заблокировано применение дефолтной политики.

Mr.Dev,
Если в AD есть Организационные единицы, то для них применяются отдельные политики которые могут наследовать политики домена а могут иметь свои собственные...может дело в этом, и по этому политики домена не работают?

Попробуйте создать новую Орг.Единицу поместите пару учеток и примените независемые политики к единице и проверьте их работоспособность....

GP Results и GP Modeling в GPMC не дал результата, в отчетах показывается что Default Domain Policy политика применилась успешно.


Я уже для чистоты эксперимента удалил все политики, ко всем OU применяется только Default Domain Policy. Все OU ее наследуют. Больше нет вообще никаких политик (ну конечно кроме Default Domain Controllers Policy). Параметры пароля как раз заданы в Default Domain Policy. По всем проверкам политика у меня применяется, но в то же время с любого ПК могу сменить пароль для любой учетки на пустой, короткий, вобщем не соответствующий установленным параметрам политики.

P.S. Другие параметры политики работают, например WSUS, proxy в IE, скрипты на LogOn/LogOff

Вы уверены, что в Default Domain Policy у Вас политика паролей, а не Default Domain Controllers Policy?

Я и там и там прописал, но DDP применяется ко всему домену, а DDCP применяется только к OU Domain Controllers.
Причем у OU Domain Controllers сделал блокировку наследования политик.

Вот тут собака и порылась.
Changes are not applied when you change the password policy

ОГРОМНОЕ Спасибо за наводку!
Помогло!