Desbloquear conta do Windows AD e atribuir * senha * temporária via linha de comando?

Joe Brown está ao telefone. Ele está bloqueado no Windows porque esqueceu sua senha. Poderíamos redefinir sua senha via Usuários e Computadores do Active Directory, mas o ADUC é muito irritante.

Obviamente, também é possível desbloquear a conta de Joe Brown e redefinir sua senha para "33Foo $ bars" via NET USER:

usuário líquido jbrown 33Foo $ bars / domínio / ativo: sim

Infelizmente, o sinalizador que exige que ele escolha uma nova senha não é definido por este comando. Nós, sendo administradores esclarecidos, não queremos saber a senha permanente de nenhum usuário a qualquer momento.

Alguém tem um método eficiente de linha de comando para desbloquear / redefinir e exigir uma alteração de senha, usando ferramentas nativas do Windows (incluindo PowerShell ou VBScript, se necessário), mas sem binários de terceiros?

Contexto: domínio do Windows Server 2008.

O 'dsmod' binário (fornecido com o Win7 e Vista, e em algum lugar do XP também) deve fazer o que você deseja.

usuário dsmod UserDN -pwd $ Password -mustchpwd yes

Pode fazer muito mais também! Ferramenta muito útil

Existem algumas outras ferramentas ao lado daquela que também são bastante úteis. dsquerypesquisa o AD na linha de comando. dsgetpuxa atributos de objetos. dsaddpermite criar objetos (e usuários!). Definitivamente vale a pena procurar qualquer scripter.

Não testado, mas eu fiz coisas assim antes com o usuário DSMod

dsquery user -samid username | dsmod.exe user -pwd <Password> -mustchpwd yes -disabled no

/ editados - inclui a boa sugestão de anexar com dsquery para permitir que você pesquise o samid (login) em vez do UDN.

Para redefinir a senha de um usuário e forçar a alteração da senha:

dsmod user "CN=John Doe,CN=Users,DC=microsoft,DC=com" -pwd A1b2C3d4 -mustchpwd yes

Isso só funcionou para mim na minha caixa Win7.

net user *username* *password*/domain ACTIVE:Yes /logonpasswordchg:yes