Куда делась политика блокировки пользователей?

В один прекрасный момент администратор решает убедиться, что политика блокировки пользователей работает на всех контроллерах домена. На контроллере домена запускается rsop.msc и выдаёт администратору ожидаемую картину:

Но на втором сервере администратора подстерегает лёгкий шок:

Стоит сразу отметить, что все сервера находятся в «ou=Domain Controllers» и на них распространяются одинаковые политики. ОС контроллеров: 2008 R2.

Предлагаю сделать из этого маленькую пятничную загадку.

Первая мысль, о том, что каким-то образом не применилась политика, сразу отметается выдачей сводных данных по команде

gpresult /R

набор применённых политик для всех контроллеров одинаковый.

Окончательно подрывает мораль то, что команда:

gpresult /Z /S ad2

ничего не упоминает о разделе «Политика блокировки учётной записи». В то же время для первого контроллера

gpresult /Z /S ad1

перечисляет раздел «Политика блокировки учётной записи» со всеми параметрами.

Проверьте свои контроллеры — быть может Вы удивитесь результату.
Самое интересное, что политика работает! Если попытаться заданное количество раз осуществить не успешный вход через второй контроллер (например с помощью LDAP bind), то пользователь блокируется.

Предлагаю сообществу в комментариях изложить свои версии причин происходящего, а также предложения по методике проверки работоспособности политики блокировки пользователя.

Я же обязуюсь к вечеру в любом случае выложить ответ на этот вопрос.

Автор: Slipeer

Источник ^[1]