ユーザさんから、ドメインユーザアカウントのプロパティ、「ユーザはパスワードを変更できない」という項目を有効にしても、一定時間経つと無効になっている、という障害報告があり調査したところ、上記の内容がヒントとなりました。
障害が発生していたユーザが所属しているグローバルグループが、保護の対象である特権グループ「Account Operators」のメンバとなっていました。
このAccount Operatorsの「アクセス許可(ACL)」にはAccount Operatorsのアクセス許可は未設定(当然ですが。)、Domain Adminsにはフルコントロールなし、というものです。
ですので、このグループに所属するグローバルグループは同様のACLになります(引継ぐことになります)。
で、それがユーザアカウントのプロパティに対する変更にどういった影響を与えるのか、というとそれがよく分かりません。
このプロパティはActiveDirectoryの上位にいるLDAP管理サーバから流し込まれているのですが、この流し込みに使われるアカウントがAccountOperatorsの権限で動作している(=アクセス許可がない) ために設定が反映されないのかな…という推測で止まっています。