Que tal apenas comunicar a mudança de política com um e-mail de notificação decente, definindo um período de carência razoável? Notifique algumas vezes, inclusive no último dia do período de carência. Você deve ser capaz de pegar a maioria das pessoas, com base nisso
Se for necessário aplicá-lo, após o período de carência, execute um script único contra todos os usuários que tenham uma data de 'última senha definida' antes da primeira notificação, para desativá-los ou forçar o sinalizador 'o usuário deve mudar no próximo logon'.
Caso contrário, você pode não apenas atualizar todos os campos 'senha nunca expira' sem verificar o 'deve mudar no próximo logon', e usar o pwdLastSet = -1 truque para redefinir a data no início do período de carência?