Como esses são os usuários do Active Directory dos quais você está falando, por que não consultar o domínio em vez de acionar um evento? Existem scripts disponíveis que encontrarão contas expiradas e até mesmo enviarão um e-mail ao usuário se você como.
Não sei o que você pretende fazer depois de encontrar uma senha expirada, mas essa consulta do PowerShell permitirá que todas as contas de usuário do domínio ativadas tenham uma senha expirada:
Get-ADUser -Filter {(Enabled -eq $true) -and (PasswordNeverExpires -eq $false)} -Properties PasswordNeverExpires,PasswordExpired | where {$_.PasswordExpired -eq $true}
Seria muito mais fácil percorrer a saída desse comando do que a execução de disparadores de tarefa do id de evento em todos os seus controladores de domínio (supondo que você tenha vários controladores de domínio).