tady tudy bych se vydal - zaheslovat administratora (ostatně není žádný důvod aby byl bez hesla, naopak).
za některých podmínek windows chtějí staré heslo, někdy ne - to jde ošetřit tím že jde nastavit že uživatel nemůže měnit heslo.

anti-cosi: protože heslo účtu jde změnit z příkazového řádku, může se obsluha bavit skriptem staženým z netu (nebo ani neví co vlastně za cizí batku spouští) - u něj pochopitelně žádný av/as nic nenajde.