Você pode fazer isso no Powershell e Set-ADUser. Altere o sinalizador ChangepasswordatLogon para True.
Seria algo como isto:
Get-ADuser -Filter {memberof -RecursiveMatch "DN of Security Group"} | Set-ADuser -ChangePasswordatLogon:$true
Não tenho certeza se isso é possível ou não, mas preciso forçar os usuários de um determinado grupo de segurança a expirar suas senhas, para que sejam forçadas a alterá-las no próximo login. A razão para isso é porque eu apliquei um FGPP (política de senhas) a esse grupo específico para impor senhas strongs. Bem, muitos usuários têm senhas realmente fracas e eles não serão alterados a menos que sejam forçados.
Existe uma maneira de fazer isso sem forçar todos a uma única senha?
Se você preferir vbscript, mesmo porque não usar o Powershell: Uma pesquisa por "vbscript set AD password to expirou" rendeu este artigo: Como posso fazer com que a senha de um usuário expire?
Eu não testei pessoalmente. O código de amostra vbscript é:
Set objUser = GetObject("LDAP://CN=myerken,OU=Finance,DC=Fabrikam,DC=com")
objUser.pwdLastSet = 0
objUser.SetInfo
Você pode combinar isso com outro código para obter os usuários da lista do grupo de segurança (use o grupo de segurança CN = na consulta LDAP) e fazer um loop através deles aplicando a expiração dessa senha. Este é um bom exemplo disso encontrado pesquisando "vbscript getobject security group": Coloque todos os usuários em um grupo AD específico usando o VbScript
Aqui está uma opção de prompt de comando:
for /f "delims=" %a in ('dsquery group -name "<INSERT_GROUP_NAME_HERE>" ^| dsget group -members -expand') do (
dsmod user %a -mustchpwd yes
)