[Ivan Bardeen]

zero55,
Бред, потому что - бред. Неважно, как вы видите, что настройки политики паролей, должны быть именно в дефолтной политике - как раз ее и не рекомендуется трогать вообще, а создать свою и привязать ее либо к OU Domain controllers или к корню домена. Поймите наконец - что парольные настройки доменных УЗ должны быть применены к контроллерам домена - это причина, все остальное - это следствия.
Про сервера 2008 я вообще не понял зачем вы их сейчас в пример привели? Там поведение абсолютно такое же и по той же причине. Разве что дополнительно парольные политики можно настраивать в объектах PSO.
КД вообще могут находиться в любой OU - тогда политика паролей должна быть применена к OU, где располагаются КД : )