Différentes stratégies de groupe dans un même domaine

Il est possible qu'il existe des GPO secondaires dans des déploiements plus spécifiques (par exemple, s'appliquant uniquement à un groupe spécifique d'ordinateurs) qui ont des exigences plus strictes en matière de réinitialisation du mot de passe.

Je recommande de courir gpresult à partir d'un Shell exécuté avec des privilèges administratifs sur la ou les machines affectées, afin de vérifier quelles GPO ont été traitées.

Depuis une ligne de commande locale à la machine : gpresult /h c:\temp\gpresult.html et ensuite inspecter le fichier résultant gpresult.html dans un navigateur.

Ce que vous cherchez, c'est la politique qui a "gagné" pour définir la politique de mot de passe ; faites une recherche pour "politique de mot de passe" et "âge maximum du mot de passe" sur cette page, pour trouver la politique pertinente, et vérifiez la "GPO gagnante" sur le côté droit de la page correspondant à l'ensemble de valeurs qui a remplacé la politique applicable globalement que vous avez noté dans votre question.

A partir d'une machine avec Powershell et les modules Powershell AD GPO, vous pouvez exécuter ce qui suit pour trouver tous les GPO avec des paramètres de mot de passe :

PS C:\temp\gpo> get-gpo -all | foreach { get-gporeport -name $_.displayname -reporttype xml -path ("c:\temp\gpo\" + $_.displayname + ".xml") }
PS C:\temp\gpo> gci *.xml | foreach {$_.name; gc $_.name | select-string "password[al]" -context 1 }

Ce qui produira un résultat comme celui-ci, vous permettant de voir quels GPO ont des paramètres de mot de passe.

somePolicy1.xml
somePolicy2.xml
somePolicy3.xml
Default Domain Policy.xml
          <q1:Account>
>           <q1:Name>MaximumPasswordAge</q1:Name>
            <q1:SettingNumber>30</q1:SettingNumber>
          <q1:Account>
>           <q1:Name>MinimumPasswordAge</q1:Name>
            <q1:SettingNumber>0</q1:SettingNumber>
          <q1:Account>
>           <q1:Name>MinimumPasswordLength</q1:Name>
            <q1:SettingNumber>6</q1:SettingNumber>
somePolicy4.xml
somePolicy5.xml
somePolicy6.xml

Une seule GPO peut définir les stratégies de mot de passe pour le domaine et elle doit être liée au domaine. Si plusieurs GPO définissant la stratégie de mot de passe sont liées au domaine, la GPO ayant la plus haute priorité (ordre de liaison le plus bas) est la GPO gagnante et est celle qui définit la stratégie de mot de passe pour le domaine. Les stratégies de mot de passe dans les GPO liées aux OU ne seront pas appliquées. Je suppose que vous avez mis en place des politiques de mot de passe à grain fin. Si c'est le cas, vous devriez voir les FGPP's qui ont été créées sous System|Password Settings Container dans Active Directory Users and Computers (vous devez être en train de regarder Advanced Features pour voir cela).