Você está certo. Se as senhas forem armazenadas como hash, não há como os sistemas operacionais saberem como a nova senha difere da antiga.
A verificação da política é feita a partir da ferramenta e funciona, pois a ferramenta também solicita a senha antiga e verifica as diferenças em relação a um conjunto de regras de política.