Eu tenho um Windows Server 2008 R2 com AD como controlador de domínio primário. Sempre que a senha de um usuário expira, ele a altera, mas nunca é aceito na próxima vez que ele tentar fazer o login (ou no Exchange Server, que usamos para o e-mail); Além disso, se a senha for alterada do próprio PDC (ou usando o programa "Usuários e computador do Active Directory"), ela será aceita em todos os lugares. Todas as máquinas, claro, fazem parte do domínio.
Obrigado