Если у Вас есть механизм для обновления реестра в Windows Computers, можно установить
DisableChangePasswordDWORD оценивают 1 дюйму:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System
и
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ System
Это отключит кнопку пароля изменения в Диалоговом окне безопасности Windows.
Так как Вы используете сертификат, подписанный Вашим собственным центром сертификации (CA), а не глобально распознанный один (таким как verisign, и т.д.), необходимо настроить клиенты LDAP для распознавания CA, говоря им доверять сертификату CA.
Для ldap* клиенты командной строки, это может быть сделано путем добавления следующей строки к/etc/ldap/ldap.conf или/etc/ldap.conf:
TLSCACertificateFile/etc/ldap/cacert.pem
(Я предполагаю, что это - то, где Ваш сертификат CA, на основе ссылки Вы отправили. Необходимо будет, конечно, распределить этот файл другим клиентам.)
Надеюсь, это поможет.