Паролі учеток в ad

Спробувати - змінює на любий паролі, які ввожу. Значить «Your princess in another castle»

Відключив другий ДК. Паролі так само не дає міняти. Значить десь політика.

А юзера перевірили? В його властивості не заборонено змінювати пароль та інше?

Насамперед) Але тоді б він лаявся нема на невідповідність пароля вимогам, а просто на те, що не можна змінити.

Ingtar - ПО замовчуванням в домені йде політики на контролери домену і на сам домен. І природно, політики на домен-контролери застосовуються тільки на OU, в якому знаходяться DC.
А політика паролів, наскільки я пам'ятаю, завжди описувалася в загальній доменної політиці в самій верхівці ієрархії і поширювалася на весь домен. До речі скільки бачив - все адміністратори обидві ці політики якраз чіпати не радять, краще створити окрему політику в OU, де будуть жити всі користувачі домену, і змінити настройки рівня складності і довжини паролів в ній.

У цій політиці тільки паролі та змінені.
Все інше йде на OUшкі всякі.

Якщо вимоги до паролів визначені і в DDP і в DDCP, то будуть діяти ті, які визначені в DDCP, так як вона буде мати більш високий пріоритет.
У gpmc.msc зробіть моделювання та результати ДП для КД, зможете хоч точно зрозуміти які саме політики і від якої у вас діють.