Isso acabou sendo um comportamento normal dentro de um domínio. O problema era a política de senha " idade mínima da senha ", cujo padrão é 1 dia . Assim, todas as contas de usuário, incluindo o administrador do domínio, não podem alterar sua senha em um dia.
É claro que a função de redefinição de senha em Usuários e Computadores do Active Directory ainda está funcionando. Para computadores não pertencentes ao domínio, essa restrição não se aplica por padrão. Nesse caso, uma alteração de senha deve ser possível a qualquer momento.
Thx para os comentadores. Feliz ano novo!