Não é assim que funciona - o sinalizador 'o usuário deve alterar a senha no próximo login' 0s out o atributo pwdLastSet , para que o usuário seja forçado a alterar no próximo login.
Quando isso acontece, não há registro de data e hora, portanto, o requisito de idade mínima sempre é considerado cumprido. Você pode testar isso alterando sua própria senha e, em seguida (sem fazer logoff), verificar a caixa 'deve alterar a senha no próximo login' em sua conta e, em seguida, alterar sua própria senha novamente. Isso funcionará, já que o registro de data e hora de sua alteração de senha anterior é apagado, forçando a mudança.
O que está realmente acontecendo (e o suporte técnico está enganando você) é que eles estão redefinindo as senhas sem configurando o sinalizador 'deve alterar a senha no próximo login' . O registro de data e hora pwdLastSet é definido com base na alteração de senha que o help desk implementou e o usuário não pode alterar a senha.
Se esta política de senha estiver definida, o seu help desk precisará ser treinado para sempre definir o sinalizador - e a falha em fazê-lo resultará em reclamações do usuário.