Eu notei um comportamento muito estranho no meu domínio do AD.
Nossa política de senha força os usuários a alterar as senhas a cada 3 meses.
Eu executei no meu AD esta consulta LDAP:
(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=65536)(!userAccountControl:1.2.840.113556.1.4.803:=2)(pwdLastSet<=130256028164025203))
Ele pesquisa usuários que não têm "A senha nunca expira", que estão ativados e que a última vez que as senhas foram alteradas foi antes de 9 de setembro de 2013 (cerca de quatro meses atrás).
Esta consulta encontrou várias centenas de usuários que não alteraram suas senhas por mais de quatro meses.
Eu também procurei no atributo msDS-UserPasswordExpiryTimeComputed e ele está definido como "nunca" (somente nos usuários da consulta, é claro).
Enquanto escrevo aqui, também notei que esses usuários não recebem nenhuma política de senha (o atributo msDS-PSOApplied está vazio), mesmo que estejam sob as mesmas políticas de outros usuários sem problemas.
Então, a questão é por que eles não recebem nenhuma política de senha enquanto outros usuários (na mesma OU, mesmos grupos, etc.) fazem?
Eureka!
Alguns anos atrás, quando o PSO foi criado, alguém o configurou para se aplicar apenas a determinados grupos, em vez de aplicá-lo no grupo Usuários do Domínio.
E assim, alguns usuários nunca receberam a política, porque eles estavam em grupos que foram criados muito depois do PSO.