Здравствуйте! AD никогда не поддерживал расширенную операцию LDAP Password Modify (RFC3062, тот самй OID 1.3.6.1.4.1.4203.1.11.1), samba4 также её не поддерживает. Nslcd, скорее всего, умеет менять пароли только с помощью этой операции.
По идее, sssd умеет при привязке к AD менять там пароли пользователей, поищите в интернете на предмет параметра chpass_provider=ad в sssd.conf, так что и с samba4 тоже должно работать. Но нужно будет менять nslcd на sssd.
У меня сейчас нет стенда с samba4, так что придётся экспериментировать самому.
Егор