Здравствуйте Алекс, Вы писали:

А>>>Я бы посоветовал использовать NetUserChangePassword().

V>>Если есть право менять пароль...

А>Привилегию Bypass traverse checking, по умолчанию, имеют все.

1) AFAIK эта привилегия разрешает прямой доступ к вложенной папке, если по пути есть папки, в которые нет доступа, или это только частное толкование и тут она тоже рабоотает? И по дефолту — это одно, а на самом деле может быть все что угодно (как вариант, разумеется, пойдет).
2) в правах юзера или политик может быть указан запрет на изменение пароля (в том числе и по времени), это тоже надо как-то учитывать, если это учитывается разными возвращаемыми значениями (а не просто 5-й ошибкой, ибо она может быть и в том случае, если запрещено получать даже просто список юзеров) — это тогда сработает, то есть, про запрете смены пароля возвращается STATUS_ACCESS_DENIED или что-то более умное?
3) смена пароля (как удачная так и нет), AFAIK, пишет в eventlog. хотя это и мелочь.