Разблокировать учетную запись Windows AD и назначить * временный * пароль через командную строку?

Джо Браун разговаривает по телефону. Он заблокирован из Windows, потому что он забыл свой пароль. Мы можем сбросить его пароль через Active Directory - пользователи и компьютеры, но ADUC очень раздражает.

Конечно, также можно разблокировать учетную запись Джо Брауна и сбросить его пароль на «33Foo $ bars» через NET USER:

чистый пользователь jbrown 33Foo $ баров / домен / активный: да

К сожалению, флаг, требующий от него выбрать новый пароль, не устанавливается этой командой. Как просвещенные администраторы, мы не хотим знать постоянный пароль любого пользователя в любое время.

У кого-нибудь есть эффективный метод командной строки для разблокировки / сброса и изменения пароля, использующий встроенные средства Windows (включая PowerShell или VBScript, если необходимо), но без сторонних двоичных файлов?

Контекст: домен Windows Server 2008.

Двоичный файл 'dsmod' (поставляется с Win7 и Vista, и где-то по пути XP тоже их получил) должен делать то, что вы хотите.

Пользователь dsmod UserDN -pwd $ Пароль -mustchpwd да

Это может сделать намного больше! Очень полезный инструмент.

Рядом с этим есть несколько других инструментов, которые также весьма полезны. dsqueryищет AD из командной строки. dsgetвытягивает атрибуты из объектов. dsaddпозволяет создавать объекты (и пользователей!). Определенно стоит поискать любого сценариста.

Не проверено, но я уже делал подобные вещи с пользователем DSMod

dsquery user -samid username | dsmod.exe user -pwd <Password> -mustchpwd yes -disabled no

/ edited - включает в себя хорошее предложение дополнить dsquery, чтобы вы могли искать samid (логин) вместо UDN.

Для сброса пароля пользователя и принудительной смены пароля:

dsmod user "CN=John Doe,CN=Users,DC=microsoft,DC=com" -pwd A1b2C3d4 -mustchpwd yes

Это только работало для меня на моей коробке Win7.

net user *username* *password*/domain ACTIVE:Yes /logonpasswordchg:yes