Isso vai ajudar, sim.
Ainda não aborda o problema original da mensagem ser enganosa para os administradores.
○ → curl -X POST -H \"api-key: $API_KEY\" -H 'api-username: michael' https://try.discourse.org/users.json --json \"$(jo email=michael+test@contoso.com username=michaeltest password=$PASSWORD active=true approved=true)\"
{\"success\":true,\"active\":true,\"message\":\"Sua conta foi ativada e está pronta para uso.\"}
○ → curl -X POST -H \"api-key: $API_KEY\" -H 'api-username: michael' https://try.discourse.org/users.json --json \"$(jo email=michael+test2@contoso.com username=michaeltest2 password=$PASSWORD active=true approved=true)\"
{\"success\":true,\"active\":false,\"message\":\"Sua conta foi ativada e está pronta para uso.\"}
^ apenas um único usuário foi criado acima
Estou inferindo que muita ofuscação foi colocada no caminho /users.json para dissuadir spammers etc., mas isso parece estar dificultando as coisas para os administradores também. Eu me pergunto se deveríamos adicionar um caminho explícito de administrador para separar os dois (criação de conta normal vs. criação de conta de administrador) que permitirá que a função de administrador seja desofuscada.