¿Cómo aplicas la GPO?

los settings de users solo se aplican a objetos "user", es decir, lo linkas a OUs que contienen "users". Y las de computer, a objetos "computer". Aunque parece que te la coge bien.

Yo por ejemplo tengo una "default policy" aplicada para todo el dominio, entonces todo lo que cuelga de ahi recoge los settings, tanto de "computer" como de "user".

Fuerzas el update?(gpupdate /force)

mmmm has comprobado que el ordenador en concreto se conecta al DC? es decir, hace la consulta de si debe bloquear el usuario.

No sea el caso de que se quede en cache y no bloquea el usuario en el DC. A nivel local no se si lo bloquearia. Con que usuario haces las pruebas? con uno normal o con un admin?

La Default Domain Policy tiene los mismos parámetros que la GPO que he creado, así que si no es por una, debería cogerla por otra

Mira el resultado de RSOP.msc

La aplica correctamente 

mira el tema de la cache, cuantos intentos tienes. Por defecto se ponen 10 intentos. bueno, mas bien, 10 logons antes de forzar la conexión al DC.

Security settings - local policies - security options --> interactive logon (es que lo tengo en ingles en el curro todo  )

Bueno, realmente ese es "otro" problema... y es que si los usuarios no reinician la máquina, muchas veces tira de cache... si tira de cache, no comprueba el PasswordAge en el DC... con lo cual no avisa de cuanto tiempo queda para la expiración... Yo acabo de comprobar que en oficinas no se aplica.. not defined también... pero como ese dominio no lo administro yo.. no puedo tocar nada. ahora haré una comprobación en otro dominio que si tengo privilegios para trastear y te digo algo.

EDIT:

Efectivamente, en el otro dominio se aplica la default policy y aparece el número de dias de antelación. Creo que tu problema radica ahí... que tira de cache al no aplicarse la default policy. A la default policy prueba a ponerla como forzada... a ver si así..

Bueno, tras salir del marrón, me puse ayer con este tema. Ya conseguí que aplicara la Default Domain Policy (tube que marcar "Enforcement" y "Linked", pero no con los efectos esperados.

Ya bloquea a los usuarios al 5º intento de password, pero tambien a otros que ni siquiera están logueados.

Lo que me mosquea es que mi usuario (administrador de dominio) e suno de los que más se bloquean. He pensado que hay algún listillo intentando sacar el password, pero tengo activada la auditoría de inicio de sesión, y no veo intentos desde ningún sitio.

No se si hay alguna tarea programada con algún password antiguo o algo.

Ya lo seguiré mirando más adelante.

Gracias!