Você tem um problema de ovo e galinha, como disse @TheCleaner em seu comentário.
A solução "always on VPN" que a Microsoft recomendaria hoje seria o DirectAccess . A funcionalidade fornecida pelo DirectAccess faz com que os PCs, de maneira eficaz, funcionem como se estivessem conectados à LAN da empresa privada em qualquer lugar em que tenham conectividade com a Internet (com disponibilidade de firewalls intermediários).
Como a Microsoft tem outra solução para esse problema, é improvável que você encontre uma solução "limpa" envolvendo a linha de comando rasdial
. Certamente, não há solução (usando somente software da Microsoft) além do DirectAccess, o que proporcionará conectividade VPN durante a inicialização para permitir que todo o processamento da Diretiva de Grupo seja executado em máquinas remotas.