Se o usuário não conseguir conectar o laptop a uma rede VPN (não é um ambiente citrix de aplicativos publicados), sincronizando com um DC, ele não alterará nada para que o Windows se conecte ao Wifi antes que ele seja carregado. O que quero dizer com isso é que, se o usuário não conseguir fazer o login, obviamente, ele não poderá se conectar ao escritório usando o cliente VPN.
Portanto, a melhor solução para este caso é fazer com que o usuário use sua senha antiga para efetuar login e, em seguida, do Webmail para alterar a senha. A menos que o membro do helpdesk defina uma nova senha (para alterar no próximo logon para ser compatível com ISO 27001).
Não há muitas soluções para você, mas mesmo assim, aqui está um link para definir o GPO e a configuração local para que o PC se conecte ao primeiro WiFi disponível.
community.spiceworks.com/how_to/2047-enable-wireless -connection-pre-logon-on-domain