Dê uma olhada na ACL de segurança padrão em uma conta de usuário normal. Você notará que Todos também têm Senha de Mudança neles. Mas todos não podem simplesmente trocar as senhas dos outros.
Lembre-se de que Alterar senha e Redefinir senha são duas permissões diferentes. Alterar uma senha é algo que o usuário faz por si e requer o fornecimento da senha atual como parte do processo. A redefinição de uma senha é algo feito administrativamente por outro usuário e não exige a senha atual.
Editar : Não, eu estava errado sobre o motivo subjacente. O artigo da Microsoft KB242795 explica melhor o motivo subjacente da permissão.
Do artigo:
The Everyone group has Change Password permissions on all computer and user objects so that unauthenticated or "anonymous" users or computers are able to change their passwords when they expire without having to be authenticated first. If the anonymous user is denied the ability to change passwords, the user would be unable to change the password without logging on.