Sim, isso é verdade, o usuário não está realmente bloqueado ou desativado quando a senha expira, o usuário é simplesmente forçado a alterar sua senha depois de fazer logon após a data de expiração.
Se você precisar que o usuário realmente não consiga efetuar login após uma data de expiração, poderá definir a própria conta de usuário para expirar após uma determinada data. Mas não de uma maneira dinâmica. Se você quisesse, digamos, desabilitar automaticamente a conta de usuário depois de não ter logado por mais de 90 dias, você precisaria roteirizar isso com (por exemplo) Powershell.