Você pode fazer isso com vários meios. Eu apenas usaria um script CMD chamando o utilitário de linha de comando NET.EXE.
Para remover o usuário:
NET USER <username> /DELETE
Para criar um novo usuário e adicioná-lo ao grupo Administradores:
NET USER <username> <password> /ADD
NET LOCALGROUP Administrators <username> /ADD
Esteja ciente de que seu script terá a senha em texto simples e a protegerá de acordo. Se você atribuir o script como um script de inicialização do AD (que é o que eu faria), altere a permissão de segurança no script para incluir "Computadores do domínio - Ler e executar" e remova a permissão "Usuários autenticados" e você terá um longo caminho para manter essa senha de texto simples segura.
O script não vai doer nada se você executá-lo várias vezes na mesma máquina. Se, no entanto, você quiser acompanhar quais máquinas foram executadas, considere o seguinte:
- Crie um grupo no AD - diga "Script de criação do usuário concluído".
- Modifique a permissão do grupo para incluir "Computadores do domínio - Gravar / adicionar self como membro"
-
No script acima, adicione a linha:
NET GROUP "Script de criação do usuário concluído" / DOMAIN / ADD% COMPUTERNAME% $
Você verá o grupo "crescer" nos computadores membros enquanto ele é executado em cada máquina.
Se você quiser impedir que o script seja executado em computadores nos quais já está em execução, adicione uma permissão ao GPO que atribui o script de inicialização "Script de Criação de Usuário Completo - Negar Aplicar Diretiva de Grupo". Então o script será executado uma vez em cada máquina. (Eu faço muito este tipo de script "trapdoor", na verdade, para várias funções de administração do sistema.)