关于客户端无法更改密码W in2kserver+win2kp的域，遇到一个问题，很多客户端在ctrl+alt+del出现的更改密码处，键入以前的密码，键入新密码，然后更改密码，提示当前账户暂时无法更改密码。

server和client都没有发现有关日志。

关于策略，只是在顶层的ou有一个策略，但是系统中 不能变更密码处 ，是没有设置的。而且设置了这个，出现的效果是 “更改密码”这个按钮灰色，不可用。

域策略中有关于密码最短有效期的设置是3天，这个账户已经建立3天了。

一直没有找到是哪里出问题了。
…………

解决了。
原来我在域上设置了密码策略，最小有效时间。后来停用了，
但是经过试验，在工作站上仍然会应用到这个策略。
故而推想，密码策略这个注册表的值随策略发布到工作站，
即使你停用了域的策略，如果没有显式的策略重新发布这个键值，
来修改工作站的注册表的键值，工作站仍然会使用停用前的策略。

我作了个试验：
xxx.com
┕━━Domain controllers
┗━━Testou
        ┗━━Computers

Domain controllers是放置dc计算机账户的ou，里面放置了dc01和dc02的计算机账户。
testou是一个测试的ou，里面有个test的账户属于domain users，
其下有个computers的ou，放置了该账户登陆的计算机账户。
在该计算机上有一个local account：gnaw0725属于local administrators。

本机没有做密码策略，那么默认的情况如下：
强制用户在时间到期之后多久必须注销?:     永不
密码最短使用期限 (天):                   0
密码最长使用期限 (天):                   42
密码长度下限:                            0
保持的密码历史记录长度:                  None
锁定阈值:                                永不
锁定持续时间(分):                        30
锁定观测窗口(分):                        30
计算机角色:                              WORKSTATION


我尝试在xxx.com上制订密码策略，最小长度8，
在testou上制订密码策略，最小长度1。
那么当我登陆到域的时候，更改test的密码的时候，发现遵从的是xxx.com上面的策略8位，
而我登陆到本机，更改本机的账户gnaw0725的时候就会遵从testou的策略1位。

现在还有一个没有测试，就是在Domain controllers上制订密码策略，会对登陆到服务器
和登陆到域的用户产生什么样的影响？
继而在域控制器上修改用户密码和用户从工作站上登陆到域会不会不同？

（注意：以上仅仅只讨论关于密码设置的策略，不包括用户策略或者计算机策略中的其他项目
每一次策略的变更，均在dc和client上执行secedit，而且在dc上站点及服务中同步两个
服务器。

原来我曾遇到过，由于dc之间没有同步而引发的client无法应用到新的策略，故而这里比较
注意）