А чето я лохонул...)
Господа, спасибо за советы, понаставил вам плюсов, особенно Ивану за первый ответ "в яблочко".
Действительно контейнер лоченый был. На самом деле еще давно появлялись мысли в эту сторону, но решил не экспериментировать, т.к. в соседнем домене тоже контейнер с контроллерами лоченый и политика с настройками просрочки паролей не форсится, а просрочка паролей работает.
На этот счет была выдвинута теория, что когда-то давно на него распространялась политика, а если брать новые КД, то при их вводе в домен они падали в стандартную оушку и на них так же накатывалась политика... а у меня... ну вот как-то не случилось
Еще раз спасибо.