Пользователь не может изменить пароль

1. Вы хотите применить это ко всем пользователям (включая вашу учетную запись)?
2. Есть способы изменить свой собственный пароль из командной строки, блокировка ctrl-alt-del не остановит их.

Итак, реальный вопрос: почему вы хотите ограничить эти учетные записи? Наверное, есть подходы получше.

(Эти параметры учетной записи - это то, что вам нужно: почему бы просто не установить их?)

На основании комментария: Я ожидал, что применение групповой политики к подразделениям пользователей будет самым простым подходом. Убедитесь, что освобожденные пользователи находятся в отдельном подразделении. Однако политика паролей является частью Компьютер Конфигурация применяется к компьютерам, а не к пользователям. Поэтому я ожидаю, что это не сработает, если две группы пользователей никогда не будут использовать одни и те же компьютеры.

Помещение целевых пользователей в их собственные OU позволило бы сценарию перебирать всех пользователей и гарантировать, что выбраны эти два параметра (этот сценарий может быть запланирован). Существует множество примеров сценариев для изменения всех пользователей в OU (например, вот этот). Это оставляет первоначальное создание пользователей: либо создать из шаблона пользователя (путем копирования в инструментах AD), либо это также может быть написано сценарием.

В целом это политика, которая идет вразрез со всей хорошей практикой (смена паролей гарантирует, что утечка информации о паролях станет недействительной), поэтому вам придется проделать дополнительную работу, чтобы плыть против течения.

Настройте политику паролей вашего домена, указав «Максимальный срок действия пароля» 0 дней (неограниченный - фактически глобальный «никогда не истекает») и «Минимальный срок действия пароля» 998 дней (максимум).

Пользователи смогут изменить свои пароли после того, как им исполнится 2,7 года - если это проблема, то поместите в свой календарь задачу на июль 2014 года, чтобы перенести дату их pwdLastSet атрибутировать вручную.