Rzeczywiście wraz update likwidującym lukę zabezpieczeń MS14-025MS z 13 maja 2014 MS zabronił zmiany haseł lokalnych administratorów poprzez Group Policy Prefernces. Na stronie opisujące tą lukę MS jako rozwiązanie proponuje wykorzystanie skryptów powershell.

https://support.microsoft.com/en-us/kb/2962486

Istnieje jeszcze inne rozwiązanie pozwalające na automatycznie generowanie hasła administratora lokalnego poprzez policy i dodatkowo przechowywanie hasła w bazie danych Active Directory. Należy zainstalować dodatkowy serwis po stronie kontrolera domeny, jak również komputera klienckiego:

Skonfigurować dodatkowe policy widoczne w gałęzi komputera w szablonach administracyjnych:

Następnie trzeba rozszerzyć schemat usługi AD (w obiekcie tupu „computer” pojawią się dwa dodatkowe atrybuty opisujące hasło administratora lokalnego). Opis i sposób konfiguracji jest opisany na stronie:

http://blogs.technet.com/b/askpfeplat/archive/2014/05/19/how-to-automate-changing-the-local-administrator-password.aspx

Pakiet instalacyjny i dokumentację można pobrać ze strony Microsoft Download Center:

http://www.microsoft.com/en-us/download/details.aspx?id=46899

polecam stronę:

https://code.msdn.microsoft.com/windowsdesktop/Solution-for-management-of-ae44e789

Na stronie tej najnowsza wersja oprogramowania z października 2015 z dodatkową aplikacją pozwalającą na graficzne wyszukiwanie hasła w całym lesie i dodatkowe ustawienia widoczne w GPO.

Hasło jest przechowywane w postaci jawnej w bazie AD, jest generowane i zmieniane automatycznie przez policy, ale tylko wydelegowani użytkownicy mogą je odczytywać.
Uwaga: Jeśli policy definiująca LAPS zostanie przepisana do kontrolera domeny również automatycznie zmienia hasła dla obiektu: domena\administrator !