尊敬的客户,您好!
默认情况下,域用户有权限修改自己的密码,如果用户属性上没有勾选User cannot change password,那么肯定是在域控上设置了拒绝的权限导致不能修改。
那你就要一步一步检查的,先在用户账号上(打开AD用户和计算机,右击用户账号,属性,安全,高级按钮)检查,在用户所在的OU上(打开AD用户和计算机,右击用户所在的OU,属性,安全,高级按钮)检查,在域上(打开AD用户和计算机,右击域名,属性,安全,高级按钮)检查。
如果有任何”Deny“条目,一定打开仔细检查看看是否拒绝了修改密码(如果有拒绝修改密码,你即使给了允许修改密码也没用,因为对于同一个权限,”拒绝“这个权限的优先级大于”允许“这个权限的优先级)。
例如:拒绝了一个组(包含一个域用户或者多个域用户账号)或者everyone修改所有域用户密码。那么这个组里的所有用户都不能修改密码。

如果没有任何拒绝的条目,您可以尝试添加修改密码的权限试试。
打开AD用户和计算机,右击域名,属性,安全,高级按钮。然后点击”添加“(Add)按钮, Principle: 选择DomainUsers
Type: 允许(Allow)
Applies to: Descendant user objects (表示域里的所有用户账号)
权限下面都保持默认的,只需要勾上"Change password"(如下)。
你上面没有更改密码选项,可能是因为选择的对象不是用户对象(Applies to:那边选择子用户对象)。

我希望以上信息对您有所帮助。
如果您有任何问题或疑虑,请随时告诉我们。
Best Regards, Daisy Zhou
============================================
如果答案有帮助,请点击“接受答案”并投赞成票。