В домене (2000 server + пользователи на 2000 и ХР)раз в месяц пользователя необходимо менять свои пароли на вход в компьютер. Из более 100 машин есть 3-5 машин с которых при попытке смены пароля выдают ошибку (отказано в доступе). Эти же пользователи с других машин свободно меняют пароль. (службы DCOM,RPC включены). Подскажите куда копать. Пожалуйста.

Event log что говорит на тех машинах, на которых пароль не меняется?

Вдогонку: те машины, на которых не получается сменить пароль, - чем-то отличаются от тех, на которых всё нормально? Может, на них какая-то особая групповая политика применяется?

У Вас домен не с NT мигрировавший? Сразу 2000 был? Тогда дальше можно не читать.
Если мигрировавший с NT - может быть такая фигня:When you attempt to change your expired domain password from a client workstation, the Access Denied error message appears. This problem occurs when "Users Must Log On In Order To Change Password" is selected in the User Manager for Domains Account Policy dialog box.
Читаем дальше:http://support.microsoft.com/kb/255776
То есть эта политика была в NT, но в 2000 её убрали. Если домен мигрировал с NT - могло остаться...
(вот такие досужие домыслы)

машины ничем не отличаются, никаких особых политик не применяется. Насчет миграции нет, был сразу 2000.

машины ничем не отличаются, никаких особых политик не применяется »
остается посмотреть event log

Wil_Bober, Вывести эти проблемные компы из домена, удалить в домене и снова внести - пробовали?

Из более 100 машин есть 3-5 машин с которых при попытке смены пароля выдают ошибку (отказано в доступе) »

Глупый вопрос на уточнение:
1. Это происходит на одних и тех же машинах или у одних и техже пользователей (я намекаю на человеческий фактор), т.е. были ли действия по смене пароля продемонстрированы админу, для подтверждения слов "я делаю все правильно / я делаю как обычно". Нужно искусственно закончить действия паролей каких-нить пользователей на этих машинах, пусть даже специально созданных для этой проверки и попробовать сменить пароль самому (обязательно)!!!
2. Не стоит ли, случайно, у этих пользователей галочки "User cannot change Password".

Не стоит ли, случайно, у этих пользователей галочки "User cannot change Password". »NiOl, внимательно читаем автора:Эти же пользователи с других машин свободно меняют пароль »


были ли действия по смене пароля продемонстрированы админу »Судя по тому, что на других машинах всё нормально, пользователи менять пароль действительно умеют =)
Так что остается посмотреть event log »

Вероятно стоит "Password never expires" в настройках учетки.

Вероятно стоит "Password never expires" в настройках учетки »
хм.
а как это влияет на то, что пользователи не могут пароль сменить? :\Из более 100 машин есть 3-5 машин с которых при попытке смены пароля выдают ошибку (отказано в доступе).
Эти же пользователи с других машин свободно меняют пароль »

HLT,
Да не понял вопроса.
Ни как тогда не влияет