Vous voulez rire un bon coup ?
Dans le contrôleur de domaine Active Directory de Samba 4 (AD DC), n’importe quel utilisateur authentifié peut changer le mot de passe des autres utilisateurs du LDAP, même si ces derniers sont des users de type « service » (contrôleur de domaine) ou administrateurs.
Mouarf.

La raison ?
Samba 4 ne valide pas correctement les permissions concernant le changement de mot de passe, provoquant une réinitialisation du mode de passe du LDAP.
Pour contourner temporairement le problème, jetez un oeil à cette page wiki. Puis mettez à jour votre Samba vers une version plus récente.