Não há uma maneira de fazer isso por meio de ferramentas nativas do AD, você terá que criar outra coisa.
Construir algo na verdade não é tão difícil. Tínhamos que fazer algo assim no meu antigo trabalho, pois precisávamos de um sistema para sincronizar senhas entre o Active Directory e três outros sistemas de senha. Construímos um portal on-line onde os usuários podiam gerenciar certos aspectos de sua identidade no campus, e a mudança de senha era uma delas. Como você, desativamos a capacidade de alterar as senhas porque, caso contrário, as alterações não seriam sincronizadas com os outros três sistemas.
Vai levar alguma engenharia segura, sem dúvida. Mas se você tiver um serviço da web que valide as senhas enviadas passando regras de complexidade, ele poderá adicionar facilmente qualquer prefixo / sufixo necessário a qualquer alteração de senha. É mais seguro do que o seu sistema atual, já que as alterações de senha não são intermediadas por um ser humano, e você pode ocultar a página por trás da autenticação do AD como uma maneira de verificar melhor as alterações de senha enviadas.