Eu tinha um parágrafo digitado sobre a alteração do atributo pwdLastSet para enganar o AD e pensar que a senha foi alterada recentemente.
Mas não é isso que você precisa. O que o aplicativo parece precisar é ter a senha alterada depois que um filtro de senha tiver sido instalado no controlador de domínio que enviará uma cópia da senha para o aplicativo.
Então - o que você está procurando não é possível. A transformação criptográfica usada para armazenar uma senha do AD não é reversível; não pode ser recuperado depois de armazenado. Ferramentas estão disponíveis para atacar os hashes armazenados, mas eles não irão recuperar todas as senhas de seus usuários de forma confiável (a menos que todas usem senhas fracas). A outra opção é usar o modo "criptografia reversível" , o que não fará nenhum bem a menos que já esteja ativado.
Sua melhor opção é instalar o filtro de senhas para que as atualizações cheguem ao aplicativo e, em seguida, modifique as configurações de senha da política de grupo para que as senhas de todos os usuários expirem na próxima semana ou duas.