Windows 10 Login möglich trotz "ChangePasswordAtLogon"

Hallo zusammen,

ich hoffe ihr bringt Licht in die Sache, weil ich bin mit meinem Latein leider am Ende.

Wir haben Windows 10 Computer mit aktuell noch 1709 (ich sage es extra dazu nicht das es ein bekannter Bug in der Version wäre).
Außerdem AD Accounts, welche alle 30 Tage das Passwort wechseln müssen.

Wie euch vermutlich bekannt, für mich war es neu und finde diese Lösung auch absolut dämlich, läuft das Passwort nicht etwa um 00:00 ab sondern exakt zur selben Zeit an der es gesetzt wurde.
Somit kommt es aktuell vor, dass Users sich in der früh einloggen können und plötzlich um zB. 11:00 die Verbindung zu Share und Exchange nicht mehr möglich ist weil das Passwort abgelaufen ist.

Dem wollte ich ursprünglich entgegen treten in dem ich PasswordLastSet auf ursprüngliches Datum aber 00:00:00 setzen wollte, geht aber nicht dieses Attribut kann nur durch das System auf einen DateTime Wert gesetzt werden. Selbst kann nur 0 (gleichzusetzen mit "ChangePasswordAtLogon") und -1 (gleichzusetzen mit "PasswordNeverExpires") gesetzt werden.

Also haben wir uns einen anderen Ansatz überlegt, immer wenn das Passwort morgen ablaufen wird soll per Script "ChangePasswordAtLogon" gesetzt werden.

Das Problem ist, trotz der Einstellung kann ich mich einmalig einloggen, dann bekomme ich aber natürlich keinen Share und Exchange Zugriff und erst beim zweiten Login wird der Passwortwechsel Dialog durchgeführt.

Ich habe schon versucht "ChangePasswordAtLogon" wie folgt zu setzen, allerdings ändert das nichts an dem seltsamen Verhalten.

auch kombiniert mit einer Deaktivierung und Aktivierung des Accounts


Client ist per WLAN verbunden, wenn es über VPN nicht besser geht würde ich es ja verstehen.

Ich hoffe irgend jemand da draußen kann mir zumindest erklären was da abläuft oder noch besser kennt die Lösung.

Danke mcdy!

Set-ADUser -identity:($_.samaccountname) -ChangePasswordAtLogon:$True

if($diff -lt 1)

# Import des AD Moduls
Import-Module ActiveDirectory
# setzen der Variable maxSpan auf das maximale Passwortalter laut Policy
$maxSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge
# setzen der Variable today auf das heute Datum und Zeit
$today = get-date 
 
# AD User auswählen die aktiv sind und bei denen das Passwort nicht niemals ausläuft, inkl der Property PasswordLastSet (ist normal nicht dabei)
get-aduser -Filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} -Properties PasswordLastSet,GivenName,Surname,samaccountname -SearchBase “DC=mydomain,DC=intern” -SearchScope Subtree |

# Auswahl alle User bei denen PasswordLastSet den heutigen Datum entspricht
?{$_.PasswordLastset -is [datetime]} | 

# Für jeden User die Variable diff setzen: DateTime des gesetzen Passwords + maximales Passwortalter + DateTime von heute (Ergebnis in Tagen)
%{$diff = (($_.PasswordLastSet + $maxSpan)-$today).Days
   
    # Wenn Variable diff kleiner 1 
    if($diff -lt 1)
	{ 
        # User Passwort auf wechseln beim nächsten Login setzen
    	Set-ADUser -identity:($_.samaccountname) -ChangePasswordAtLogon:$True
    	} 
}

# aktivierte AD Benutzer bei denen dass Passwort ablaufen kann und der Passwortwechselzwang noch nicht aktiviert wurde
$ADUser = Get-ADUser -Filter {Enabled -eq $true -and PasswordNeverExpires -eq $false} -Properties SamAccountName,PasswordLastSet -SearchBase "OU=User,DC=company,DC=my" | Where-Object {$_.PasswordLastSet -ne $null}  


$ADUser | ForEach-Object {
    # wenn Datum des letzten Passwortwechsel + maximal Alter des Passwort im Format yyyy-MM-dd gleich wie Datum von morgen im gleichen Format
    if ($_.PasswordLastSet.AddDays((Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days).ToString("yyyy-MM-dd") -eq (Get-Date).AddDays(1).ToString("yyyy-MM-dd"))  
        {
            # erzwungenen Passwortwechsel aktivieren
            Set-ADUser $_.SamAccountName -ChangePasswordAtLogon $true
        }
    }