Была с сеть с контроллером AD Windows 2003. Понадобилось от него избавиться. Сделали два новых контроллера, тоже Windows 2003. Подняли на них DNS и все прочее необходимое. Старый контроллер был убран из сети штатным образом: понижая роль и снимая с него функции непосредственно на нем. Все проходило штатно - он опустился до обычного сервера в сети, раздав свои полномочия. Не помню точно, но вроде в конце для верности я его даже из домена вывел.
Сеть работает вроде нормально с оставшимися двумя контроллерами. Причем проверяли специально, работает даже при включенном только одном из них (любом). Но появились проблемы.

Проблема 1. При создании нового пользователя в AD ругается примерно так:
Не удалось проверить уникальность предлагаемого имени пользователя в глобальном каталоге по причине: Сервер неработоспособен....
Но пользователя при этом создает, к счастью.

Гораздо хуже другая проблема, которую обнаружил совершенно случайно.

Проблема 2. Перестала работать политика безопасности домена. В политике учетных записей задано, что пароль должен отвечать требованиям сложности, что минимальная длина пароля 8 знаков и т.п.
Раньше это работало. Но случайно заметил, что юзеры себе меняют пароли на очень простые, да хоть "1" в качестве пароля задать - пофиг, проходит!

Возможно есть еще какие-то проблемы, появившиеся после удаления старого контроллера, просто я про них еще не знаю.

Куда копать?

Не понял.
Еще раз, суть проблемы такая: У юзеров в домене должна быть возможность сменить свой пароль. Но система должна проверять сложность пароля: не меньше чего-то (не важно, 8 или 12), удовлетворять требованиям сложности.

Так вот, эти требования задавались в политике безопасности домена. Не в локальной политике, не в групповой, не в политике контроллера, а именно в политике безопасности домена! И это работало: если юзер пытался сменить пароль на простой, система ругалась и не давала ему это сделать.

Сейчас почему-то уже не ругается и допускает подобное. Подозреваю, что это может быть связано с уходом старого контроллера AD, но не уверен в этом.

Чтоб было понятнее, о чем я говорю, вкладываю картинку. Так оно выглядит на обоих контроллерах домена. Раньше это работало.

Anatoly PodgoretskyМежду прочим на экране "безопасности домена "

А я про что? Именно про политику безопасности домена.

Перечитываю топик от начала. Меня глючит? Локальные политики ни при чем и я их нигде не упоминал вроде. Интересует именно политика домена.

gpupdate /force на ком запускать? Запускал на рабочей станции и обоих контроллерах - пофиг

2 Biz©: Причем здесь политика контроллера домена? Она на это никак не влияет. Но проверил - не задана. Задал. Пофиг.

rsop.msc не ругается. Где ее запускать? Что проверять? Показывает, что политика паролей не определена в конфигурации компа. Ни на рабочей станции под интересующим юзером, ни на контроллере.

Давайте без лишнего сарказма, если по существу помочь нечем. Ок?

Я не столь крут в настройке этой гребаной AD, но насколько я помню, политика контроллера домена не сказывалась на том, какие требования предъявлялись к паролям пользователей доменов. Этот домен уже далеко не первый, в котором я ставил требования к паролям пользователей именно при помощи Политики безопасности домена . И везде это работало и работает. И тут работало, но с каких-то пор перестало. По времени примерно совпало с уходом старого контроллера. Возможно еще где-то рядом по времени была установка сервис-пака на контроллерах и запуск автоматических обновлений. Что именно поломалось - хз.

Вот и вся проблема. При чем тут политика на клиентских компах, я тоже не понял.