Проблема с принудительной сменой пароля пользователя в домене 2003
 

Всем привет!
Есть домен на 2003 Enterprise R2 SP2.
Во всех групповых политиках паролей отключена сложность. Тем не менее, когда пользователь пытается принудительно сменить пароль, домен отвечает, что пароль не соответствует сложности (даже если пароль составлен по рекомендациям сложности от Мелкомягкого).
Подскажите, пожалуйста, в чем проблема?

локальные политики смотрели ?
не уверен. посмотрите RSOPом политики для этого пользователя.

Проверил. Отключено.
Эта петрушка у всех пользователей

domain policy

rer, может установлено требование большой длины пароля? Возможно (!) в политике "не определено", а в локальной политике (на всех компьютерах) установлено. Это может быть, если станции ставились с одного "настроенного" дистрибутива.
Или директивно спущено с вышестоящего домена...

Политика паролей устанавливается ТОЛЬКО в Default domain policy, и, если там указано "not defined", будет действовать политика по умолчанию от МС. Если хотите отключить - ставьте "Disabled", длина пароля "0" и т.п., т.е. явно определяйте нужные параметры.

Длина пароля установлена на 6 символов (при смене это требование выполняется). В групповых политиках все политики паролей определены явно, поэтому локальные политики не в счет. Вышестоящего домена нет.
Уже десяток лет администрю домены, такие грабли впервые. У дяди Билли ничего не нешел. HELP!!!!!!!

6 параметров политики паролей - перечислите или дайте скриншот.

Вот скриншет

rer, а у пользователей нет запрета на самостоятельную смену пароля? (а вдруг...)

зы. можно попробовать сначала установить в политиках сложность и т.д., а потом отменить. Может это просто глюк...

ззы. минимальный срок - 0 дней.

через 0 дней его можно сменить.
Максимальный срок - через столько дней придётся сменить.

:( Эх, я это пробовал в самом начале.

rer, поставь:если будет больше, то при сбросе пароля админом и установке принудительной смены пароля пользователем при первом входе, ему (пользователю) придется ждать сутки... пока истечет минимальный срок действия пароля. IMHO.

Сегодня обнаружил интересную вещь. У меня два контроллера домена, на обоих выполнен вход администратором домена.
На каждом выполнил rsop.msc. И что оказалось: на PDC все политики паролей отобразились так, как и настраивались, а на BDC они все почему-то не определены.
Насколько я разбираюсь в доменах, то регистрация пользователей и все с этим связанное происходит на BDC. От сюда и грабли со сменой пароля.
Если я не прав - поправте меня.

Проверьте роли серверов. Смотрите ошибки на втором контроллере. Насколько я разбираюсь в доменах, BDC были только в NT

PDC и BDC - это я так по старинке. Под PDC я подразумевал хозяина схемы и операций и т.п. Тогда вместо PDC скажу DC1, а вместо BDC - DC2.
dcdiag ошибок не показал, replmon - тоже.
Выкладываю 3 html'ки с Result_Policy: на обоих DC и на клиенте.

rer,
Уважаемый! У Вас Minimum password age - 28 дней, так что пользователю придется подождать, пока политика разрешит ему поменять пароль. )))
Советую поставить 0 дней.

Изначально и стояло 0 дней, но не работало. Проблема с политикой сложности и с тем, что на DC2 политики паролей не применяются.

Смотрите логи на DC-2 на предмет репликации. Попробуйте replmon.exe

А если политики настраивать на DC2, они переходят (реплицируются) на DC1?
Может, между контроллерами стоит какая-то хитрая железка?

monkkey, я выше писал, что replmon ошибок не выдает.

gf100, все изменения политик реплицируются. Между серверами только Cisco.

После полного восстановления SYSVOL на DC2 все заработало.
Всем спасибо за участие!
Тему можно закрывать.