¿Cómo puede un usuario estándar de Windows cambiar su contraseña desde la línea de comandos?

En Windows Server 2008 R2, tengo un usuario local estándar (no administrador) (no una cuenta de Active Directory, aunque el servidor está en un dominio) que tiene acceso al servidor solo a través de PowerShell Remoting. El usuario no puede iniciar sesión a través de RDP.

Me gustaría que este usuario pueda cambiar su contraseña. El comando 'usuario neto' requiere derechos de administrador, incluso si el usuario está tratando de cambiar su propia contraseña.

¿Cómo puede un usuario estándar cambiar su contraseña desde la línea de comandos?

Aquí hay un código de PowerShell para hacer lo que está buscando con las cuentas de dominio:

param (
    [string]$oldPassword = $( Read-Host "Old password"),
    [string]$newPassword = $( Read-Host "New password")
)

$ADSystemInfo = New-Object -ComObject ADSystemInfo
$type = $ADSystemInfo.GetType()
$user = [ADSI] "LDAP://$($type.InvokeMember('UserName', 'GetProperty', $null, $ADSystemInfo, $null))"
$user.ChangePassword( $oldPassword, $newPassword)

El proveedor ASDI también admite la sintaxis WinNT://computername/usernamepara el ChangePassword()método. El ADSystemInfoobjetivo, sin embargo, no funcionará para las cuentas de equipo local, por lo que sólo reequipamiento el código anterior con la WinNT://...sintaxis no es viable.

(¿Alguien quiere sugerir una edición con código para diferenciar entre cuentas locales y de dominio?)

En una táctica completamente diferente, la antigua NetUserChangePasswordAPI también funcionará con cuentas locales (y de dominio, siempre que especifique el nombre de dominio en la sintaxis de NetBIOS):

param (
    [string]$oldPassword = $( Read-Host "Old password"),
    [string]$newPassword = $( Read-Host "New password")
)

$MethodDefinition = @'
[DllImport("netapi32.dll", CharSet = CharSet.Unicode)]
public static extern bool NetUserChangePassword(string domainname, string username, string oldPassword, string newPassword);
'@

$NetAPI32 = Add-Type -MemberDefinition $MethodDefinition -Name 'NetAPI32' -Namespace 'Win32' -PassThru

$NetAPI32::NetUserChangePassword('.', $env:username, $oldPassword, $newPassword)

Este código supone que está cambiando una contraseña en la máquina local (".").

Esto es realmente bastante simple en PowerShell:

([ADSI]'LDAP://CN=User,CN=Users,DC=domain').ChangePassword('currentpassword','newpassword')

Intenté ambas respuestas anteriores en vano, para cambiar la contraseña de un administrador local que no está unido al dominio. Sin embargo, hurgar en los comentarios arrojó lo que necesitaba.

Para la segunda parte de la respuesta actualmente aceptada, desea actualizar la firma para usar en longlugar del boolvalor de retorno, y estos pueden solucionarse en los documentos de códigos de error del sistema . Entonces terminas con:

param (
    [string]$oldPassword = $( Read-Host "Old password"),
    [string]$newPassword = $( Read-Host "New password")
)

$MethodDefinition = @'
[DllImport("netapi32.dll", CharSet = CharSet.Unicode)]
public static extern **long** NetUserChangePassword(string domainname, string username, string oldPassword, string newPassword);
'@

$NetAPI32 = Add-Type -MemberDefinition $MethodDefinition -Name 'NetAPI32' -Namespace 'Win32' -PassThru

$NetAPI32::NetUserChangePassword('.', $env:username, $oldPassword, $newPassword)

Sin embargo, eso no funcionó para mí. Los códigos de error alternaban entre 86 y 2221, dependiendo de cómo configuré los parámetros. Estaba a punto de rendirme y profundizar más en los comentarios, y finalmente encontré éxito al hacer:

([ADSI]'WinNT://./USERNAME').ChangePassword("OLDPASS‌​", "NEWPASS")

Absolutamente ridículo que el CAMBIO simple de una contraseña de administrador local sea tan complicado en Powershell. Si almacena cadenas de seguridad en su sistema, entonces la actualización de la contraseña debe hacerse con el suministro de la contraseña anterior, ¡o corre el riesgo de perder la capacidad de descifrar esas cadenas seguras correctamente!