Der Grund, warum wir in der EVV noch ein maximales Passwortalter gesehen haben, war jedoch ein anderer: anscheinend kann man über die Powershell der Domäne ebenfalls konkrete Vorgaben machen. Mit

Get-ADDefaultDomainPasswordPolicy -Domain evv.loc

habe ich bis vor ein paar Minuten die Angabe erhalten, dass das maximale Kennwortalter noch 90 Tage ist.

Über dieses Cmdlet

Set-ADDefaultDomainPasswordPolicy -Domain evv.loc -MaxPasswordAge 0

kann man das Maximalalter des Passworts über diese Richtlinie dann aufheben. Das habe ich in der EVV gemacht, jetzt wird das msDS-Feld korrekt

Das widerspricht dann auch dem, was wir in der "Default Domain Policy" sehen und es wird noch eine spannende Aufgabe für jemanden, herauszufinden wann welche Richtlinie mit höherer Priorität greift. Mit Sicherheit muss das maximale Kennwortalter jedoch an beiden Stellen weggemacht werden müssen, wenn man zuverlässig verhindern möchte, dass Passwörter ablaufen können.