Parece que você está executando um "recurso" introduzido no Server 2003 SP1 e ainda presente no mínimo no Server 2008 R2. Por padrão, os controladores de domínio agora permitem que a senha anterior mais recente seja usada para autenticação NTLM por uma hora. Esse comportamento pode ser modificado criando um valor DWORD de OldPasswordAllowedPeriod at HKLM\SYSTEM\CurrentControlSet\Control\Lsa . O valor é em minutos, um valor de 0 irá desativá-lo e não é necessário reiniciar. Note também que:
- Isso se aplica somente ao NTLM, não à autenticação Kerberos.
- Essa alteração deve ser feita em cada controlador de domínio.
- A política de senha do usuário deve ter o histórico de senhas ativado ou esse recurso está efetivamente desativado.
Consulte O Windows Server 2003 Service Pack 1 modifica o comportamento de autenticação de rede do NTLM para obter detalhes.
EDIT: dando crédito onde é devido, eu originalmente tropeçou neste artigo em link e lembrou que esta pergunta não foi respondida.