Для ограничения возможности смены пароля на определенных учетных записях в Active Directory можно использовать Group Policy. Вот как это можно сделать:
1. Откройте Group Policy Management Console (GPMC).
2. Создайте новую Group Policy или отредактируйте существующую.
3. Перейдите в раздел "Конфигурация компьютера" -> "Настройки Windows" -> "Настройки безопасности" -> "Локальные политики" -> "Отключение смены пароля".
4. Добавьте в список учетные записи, для которых необходимо ограничить возможность смены пароля.
5. Примените настройки Group Policy к нужным учетным записям.
Чтобы запретить администраторам смену паролей определенным сервисным учетным записям в Active Directory через инструмент ADUC, можно воспользоваться дополнительными настройками безопасности. Например, можно ограничить доступ к соответствующему OU, где находятся учетные записи сервисов, для всех администраторов, кроме специально назначенных лиц, которым разрешено вносить изменения.
Также можно создать специальную роль в Active Directory, которая будет иметь доступ только к определенным учетным записям для изменения паролей, и назначить эту роль только нужным администраторам.