Dê uma olhada no objeto Domínio em ADSIEDIT. Eu suspeito que você vai encontrar o atributo maxPwdAge definido como 0. Limpe esse valor e atualize a política em seus CDs e você verá a expiração da senha acontecer.
Na minha rede do Windows com todos os servidores AD (ainda) executando o Windows 2003, encontro o seguinte problema: A diretiva "Duração máxima da senha" aparentemente não se aplica. Mesmo que alguns usuários tenham sido solicitados a alterar sua senha regularmente, aparentemente muitos não são solicitados a fazê-lo. Uma pesquisa LDAP rápida para usuários com passwordLastSet <= dois anos (!) Atrás, lastlogonTimestamp >= três semanas atrás e userAccountControl=512 (essa condição críptica significa especialmente que a caixa de seleção Password never expires não está marcada) fornece uma lista de aproximadamente 70 (!) Usuários. Eu poderia solicitar manualmente que eles alterassem suas senhas no próximo logon, mas eu preferiria ver a política de idade da senha fazer seu trabalho (e deixei-as sem modificações precisamente para obter uma indicação de que a política está funcionando).
Eu sabia que sabia onde configurar isso: na Política de domínio padrão em Duração máxima da senha , ponto final.
Eu fiquei louco por desespero, que de acordo com os documentos não deveria ter ajudado (mas pelo menos não deveria prejudicar também, deveria?): Já que a configuração na "Política de Domínio Padrão" - aparentemente - não tinha efeito, eu adicionei configurações correspondentes em todos os objetos de política que podem ter influência sob várias circunstâncias, que é "Política de Controladores de Domínio Padrão", "Política de Domínio [EMPRESA]", [EMPRESA] Política de DC "," [EMPRESA] Computadores Política "(os nomes sugerem seus escopos muito bem, eu acho), mas nada ajudou. Para dar uma visão geral: as pessoas fazem login primeiro no PC, que pode ser sobre qualquer versão do Windows, de 8.1 para baixo até algumas ainda em execução no XP (e no processo de serem despejadas). Aqui, eles trabalham localmente ou, principalmente, fazem login nos servidores RDP, que executam o Windows 2008R2; este último login é adicionalmente regido por uma "[EMPRESA] Política de Loopback TS" específica, na qual eu também adicionei a configuração de idade maxpassword - sem sucesso. E depois de tudo, já o login no PC local deveria ter acionado uma expiração.
Em outras palavras, não tenho idéia do que poderia ser o problema por trás disso e agradeceria muito a ajuda. Enquanto isso, isso me incomoda há alguns meses e, na verdade, agora está se tornando uma dor crescente no pescoço (veja as idades reais da senha descobertas no primeiro parágrafo!). Enquanto desejamos migrar a versão do AD e isso pode resolver o problema como um efeito colateral, ficaríamos muito mais felizes se esse problema pudesse ser resolvido antes de iniciar essa migração (e possivelmente importar um arquivo oculto) problema).
O elefante na sala foi corretamente observado por Hagen von Eitzen acima. Se o ADUC tiver a caixa de seleção do usuário "a senha nunca expira" marcada, o GPO não poderá substituir e forçar o usuário a alterar sua senha. Esta caixa DEVE ser desmarcada!