ユーザーがパスワードを変更できない-ActiveDirectoryグループポリシー

デフォルトのドメインポリシーが最小限のパスワードの複雑さを強制しているようです。この動作を変更する場合は、おそらくグループポリシーを編集する必要があります。

Microsoftから：

「パスワードは複雑さの要件を満たす必要があります

このポリシー設定は、すべての新しいパスワードをチェックして、強力なパスワードの基本要件を満たしていることを確認します。デフォルトでは、Windows Server 2008のこのポリシー設定の値は無効に構成されていますが、このガイドで説明されている両方の環境のWindows Server2008ドメインでは有効に設定されています。

このポリシー設定を有効にすると、ユーザーは次の最小要件を満たすために強力なパスワードを作成する必要があります：

パスワードには、ユーザーのアカウント名または2文字を超えるユーザーのフルネームの一部を含めることはできません。

パスワードは6文字以上である必要があります。

パスワードには、次の4つのカテゴリのうち3つの文字が含まれている必要があります：

英語の大文字（AからZ）

英語の小文字（aからz）

アルファベット以外の文字（たとえば、！、$、＃、％）。

パスワードに文字を追加するたびに、その複雑さが指数関数的に増加します。

たとえば、7文字のすべて小文字のアルファベットのパスワードには、267（約8 x 109または80億）の可能な組み合わせがあります。

1秒あたり1,000,000回の試行（多くのパスワードクラッキングユーティリティの機能）では、このようなパスワードをクラッキングするのに133分しかかかりません。

大文字と小文字を区別する7文字のアルファベットのパスワードには、527の組み合わせがあります。

句読点のない7文字の大文字と小文字を区別する英数字のパスワードには、627の組み合わせがあります。

8文字のパスワードには、268（または2 x 1,011）の可能な組み合わせがあります。これは多数のように思われるかもしれませんが、1秒あたり1,000,000回の試行では、考えられるすべてのパスワードを試行するのに59時間しかかかりません。

これらの時間は、ALT文字や「！」などの他の特別なキーボード文字を使用するパスワードでは大幅に増加することを忘れないでください。または「@」。

パスワード設定を適切に使用することで、ブルートフォース攻撃の成功を防ぐことができます。」

ソース： http://technet.Microsoft.com/en-us/library/cc264456.aspx

ワークステーションでRSOPを実行したようです。これはローカルアカウントに影響しますが、変更されるパスワードがドメインアカウントである場合、思い出すと、パスワード変更を処理するドメインコントローラーのRSOPに対して検証されます。

さらに、WindowsAPIを使用してパスワードの複雑さを検証するサードパーティのプラグインを作成することもできます。 Hitachi ID Systemsは、そのようなコンポーネントの1つを公開しています（リモートサーバーにクエリを実行して、パスワードがそこに設定されているルールを満たしているかどうかを確認します）。このようなプラグインがパスワードを拒否すると、Windowsに組み込まれている3-of-4の複雑さのルールがパスワードを拒否した場合と同じように見えます。あなたの環境にそのようなものがあるかどうか（それらはDCにインストールされるでしょう）について調査し、ある場合は、それらの何が悪いのかを判断するか、それらを取り除く必要があります。

とはいえ、パスワードの変更を強制すると問題が解決するため、最低年齢ルールが適用されていることが問題である可能性があります。これについては、DCのRSOPを確認してください。

その特定のユーザーアカウントに対して、きめ細かいパスワードポリシーが作成または適用されていないことを確認します（機能レベルが2008以降の場合）。ユーザーのmsDS-resultantPSO属性を確認してください。これには、対応するユーザーに適用されたきめ細かいパスワードポリシーが含まれています。 msDS-resultantPSOは構築された属性です。属性が使用できない場合、使用できない場合は、デフォルトのドメインポリシーが適用されます。