Розблокувати обліковий запис Windows AD та призначити * тимчасовий * пароль через командний рядок?

Джо Браун телефонує. Його заблоковано з Windows, оскільки він забув свій пароль. Ми могли скинути його пароль через користувачі та комп’ютери Active Directory, але ADUC дуже прикро клацає.

Звичайно, можна також розблокувати акаунт Джо Брауна та скинути його пароль на "33Foo $ bars" через NET USER:

чистий користувач jbrown 33Foo $ bars / domain / active: так

На жаль, ця команда не встановлює прапор, який вимагає від нього вибору нового пароля. Ми, будучи освіченими адміністраторами, не хочемо в будь-який час знати постійний пароль будь-якого користувача.

Хтось має ефективний метод командного рядка для розблокування / скидання та вимагає зміни пароля, використовуючи нативні інструменти Windows (включаючи PowerShell або VBScript, якщо це необхідно), але немає сторонніх двійкових файлів?

Контекст: Домен Windows Server 2008.

Двійковий 'dsmod' (постачається з Win7 та Vista, і десь на шляху XP отримав їх також) повинен робити те, що ви хочете.

користувач dsmod UserDN -pwd $ Пароль -mustchpwd так

Це також може зробити набагато більше! Дуже корисний засіб.

Поряд із цим є і кілька інших інструментів, які також є дуже корисними. dsqueryздійснює пошук AD з командного рядка. dsgetтягне атрибути з об’єктів. dsaddдозволяє створювати об’єкти (і користувачів!). Однозначно варто пошукати будь-якого скриптера.

Неперевірено, але я робив подібні речі раніше з користувачем DSMod

dsquery user -samid username | dsmod.exe user -pwd <Password> -mustchpwd yes -disabled no

/ відредаговано - включає гарну пропозицію додати dsquery, щоб ви могли шукати самід (логін) замість UDN.

Щоб скинути пароль користувача та примусити змінити пароль:

dsmod user "CN=John Doe,CN=Users,DC=microsoft,DC=com" -pwd A1b2C3d4 -mustchpwd yes

Це просто працювало для мене на моїй скриньці Win7.

net user *username* *password*/domain ACTIVE:Yes /logonpasswordchg:yes