今天美国哪边的同事说，不他们哪边的用户不能自行修改域用户的密码。了解了大半天的情况后，我想到了GPO（组策略），到微软找了找，找到了一个KB，可以实现Windows 2000/2003下如何使用组策略禁止用户修改密码，取消反之。具体的方法如下：

一.如何将站点、域或组织单元配置为更改密码时要求有系统提示

1.	通过使用“Microsoft 管理控制台”(MMC) 来启动“Active Directory 用户和计算机”管理单元。操作方法：单击开始，单击运行，键入 mmc，然后单击确定。在文件菜单上，依次单击添加/删除管理单元、添加、Active Directory 用户和计算机、添加、关闭，然后单击确定。现在，在控制台的左窗格中应该看到该管理单元。
2.	展开该管理单元，然后右键单击要对其实施新密码更改策略的域或组织单元，然后单击属性。
3.	单击组策略选项卡，单击要使用的“组策略对象”(GPO)，然后单击编辑。如果在窗口中未列出现有策略，请单击新建以创建一个您可以为其选择名称的新策略，然后单击编辑。
4.	展开该策略，然后展开“用户配置”节点。展开“管理模板”节点，然后展开“系统”节点。
5.	单击登录/注销节点。
6.	右键单击禁用更改密码策略，然后单击属性。
7.	在策略选项卡上，单击启用选项，然后单击确定。
8.	关闭“组策略”窗口，然后退出“Active Directory 用户和计算机”控制台。
9.	在命令提示符下，键入 secedit /refreshpolicy user_policy /enforce，然后按 ENTER 键以更新该策略。

备注：默认情况下，在域级别应用于用户或计算机的策略将会应用到该域中的所有用户和/或所有计算机。默认情况下，应用于组织单元的策略将会应用到驻留在该组织单元以及可能存在的任何子组织单元中的所有用户帐户和/或计算机帐户。用户帐户必须移入该组织单元或在其中创建，才会应用策略。如果只是给组织单元添加用户可能是其成员的安全组，将不会对该用户应用策略。

二.如何对一名或多名特定用户禁用“更改密码”按钮

必须在用户计算机上执行以下步骤：

1.	在命令提示符下，键入 regedit，然后按 ENTER 键。
2.	查看下面的注册表项： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
3.	单击 System 项（如果它存在）。如果该项不存在，请单击编辑菜单中的新建，然后单击项以创建一个称为“New Key #1”的新文件夹值。将 New Key #1 值重命名为 System。
4.	单击 System 项。在编辑菜单上，指向新建，然后单击DWORD 值。将New Key #1 项重命名为DisableChangePassword，按 ENTER 键，然后再次按 ENTER 键。
5.	将值从 0 更改为 1。
6.	退出“注册表编辑器”。按 CTRL+ALT+DELETE 组合键，即可看到现在无法使用更改密码按钮了。

P.S:微软KB：
A.如何在 Windows 2000 中防止用户在非必要情况下更改密码
http://support.microsoft.com/default.aspx?scid=kb;zh-en;309799

B.HOW TO：在 Windows Server 2003 中防止用户在非必要情况下更改密码
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;324744