チャブーンです。

ドメインアカウントのロックアウトの解除には、LDAP ベースの特定属性やフラグ (userAccountControl) の変更が必要で、残念ながら net user コマンドではできません。

必要なフラグについては、Windows Server 2003 ベースでは lockoutTime だけではない (ms-DS-User-Account-Control-Computed) ので、したの資料を確認してみてください。

http://support.microsoft.com/kb/305144/ja

LDAP 属性を直接変更するコマンドツールには dsmod user コマンドがありますが、ロックアウトの解除をする設定はありません。こういうケースでは任意の LDAP 属性を変更できる、admod.exe ツールを使うといいでしょう。MS 製ではありませんが、著名な MVP が提供しているものです。

http://www.joeware.net/freetools/tools/admod/index.htm

OU に含まれるユーザ全体にクエリをかけて設定したい、という場合もあるでしょう。うえのツールの対となっている adfind.exe を併用するとうまくいきます。dsquery コマンドと似たツールと考えればよいでしょう。

http://www.joeware.net/freetools/tools/adfind/index.htm

チャブーン@さま

さっそくのご回答ありがとうございます。
またツールの情報提供ありがとうございます。
admod.exe、adfind.exe について後ほどじっくりと拝見させていただき、評価検討したいと思い思います。

チャブーンです。

紹介しっぱなしもナンなので、簡単に確かめました。

lockoutTime 属性のアクセス許可を調整した状態で、adfind.exe admod.exe を適切に配置して、下のようなコマンドをアクセス許可を可としたユーザ権限で実行させると、まあちゃんと動作しました。

adfind -b OU=Accounts,DC=example,DC=com -f "&(objectClass=person)(&(lockoutTime=*)(!lockoutTime=0))" -dsq|admod "lockoutTime::0"

ちなみに、ms-DS-User-Account-Control-Computed ですが、ロックアウトすると値が変更されますが、lockoutTime 属性に 0 を投入すると 0 に戻る実装になっているようで、特にアクセス許可を変更しなくても、普通に動作しますね。

アカウントのロックアウトポリシーで時間が経つとロックが解除される場合ですが、ロックが解除されると ms-DS-User-Account-Control-Computed は 0 になりますが lockoutTime は 0 にはならないようなので、クエリを行う場合にはちょっと注意が必要です。