Se o computador ingressou em um domínio, você pode usar as ferramentas de gerenciamento do Active Directory para definir um sinalizador para um usuário User must change password on next logon .
Quando o usuário fizer login no computador, ele será imediatamente solicitado a alterar sua senha digitando a senha antiga, seguida por 2 vezes uma nova senha. Após a conclusão bem-sucedida, sua senha foi alterada. Em caso de falha, eles simplesmente não podem fazer o login.
Esta é a única maneira de fazer isso. Se o computador não estiver em um domínio, você ainda poderá executar a mesma ação usando o Gerenciamento do Computador, exceto ... você precisará fazer isso em todos os computadores e precisará fazer login no computador para acessar o Gerenciamento do Computador, mas isso não não tem que ser feito através do próprio usuário. Na verdade, isso precisa ser feito usando um usuário que tenha privilégios administrativos.
O benefício de um domínio é óbvio que você pode selecionar muitos usuários e simplesmente definir essa caixa de seleção uma vez para todos os usuários ao mesmo tempo. Além disso, você pode ter políticas em vigor que fazem isso automaticamente a cada x dias.
Dito isto, não existe uma ferramenta de linha de comando que faça isso. Como administrador, você quer poder alterar a senha sem conhecer a senha antiga e, como tal, se realmente quiser alterar a senha usando a senha antiga, faça login no usuário com a senha antiga e use CTRL - ALT - DEL e escolha Alterar senha. Essa tela deixará em branco a senha com as estrelas, para que você possa executar essa ação e permitir que o usuário insira uma nova senha, ou use o método acima para forçá-la, caso ela esteja ausente.