Contas de Administrador Secundárias Expiradas: Não solicitando a alteração da senha (Executar como)

Para uma prática recomendada de segurança cibernética, todas as permissões administrativas locais foram revogadas das contas de usuário.

Apenas um número selecionado de funcionários recebeu uma Conta de administrador secundária, da qual eles são aconselhados a executar seus aplicativos como administrador com a condução de sua conta normal sem qualquer privilégio.

Essas contas são aplicadas por meio de um GPO - que denominei "Política de acesso especial" - que configura centralmente as contas de administrador locais e segmenta os PCs.

Os usuários da Política de Acesso Especial têm sua própria OU, que herda nossa política padrão de domínio / senha, e tem outra política para bloquear o acesso à Internet (aplicando 127.0.0.1 como um endereço proxy - com exclusões para o WSUS).

Duas questões aqui

• As contas de administrador secundárias podem executar aplicativos como administradores, apesar de sendo expirado
• Eles não estão solicitando que o usuário altere as senhas quando expirou (e executando o aplicativo como administrador)

Existem configurações que podem ser alteradas para alterar esse comportamento?