В данном случае ничем. Извините, мы ввели вас в заблуждение. Смена пин-кода в Winlogon невозможна.

Аппаратные политики пин-кодов устанавливаются администратором и запрещают использовать слабый пин-код. Политики, которые возможно использовать указаны в пункте 35 инструкции.

Подскажите в чем разница (преимущество) использования крипропровайдера -  Aktiv Rutoken CSP v.1.0 по сравнению с Microsoft Smart Card Base CSP?

Аппаратные политики Pin-кодов не подходят (не работают), поскольку как вы сами пишите они на минидрайвер не распространяются. Т.е. пользователь после входа в систему по сложному пин-коду (установленному заранее, в соответствии с требованиями безопасности) может самостоятельно сменить пин-код (нажав Ctrl+Alt+Del), при этом установив себе самый простой пароль (который может не удовлетворять требованиям безопасности в организации) и данное действие никак нельзя ни предотвратить, ни промониторить.

В инструкции "Управление Pin-кодами Рутокена" написано:
"Чтобы пользователь не смог задать слабый PIN-код необходимо настроить политики для PIN-кодов. Это реализуется через групповые политики домена."

Подскажите, где в AD находятся данные политики, которые отвечают за политики PIN-кода Рутокен? Может это какие то дополнительные административные шаблоны?

Пользователям в домене "разливается" рутокеновский мини драйвер, так как толстый им не нужен. Каким образом сделать так, чтобы система требовала принудительно сменить пин-код по умолчанию, при их первоначальном входе в систему по только что выданному токену?