Eu não acredito que o que você quer fazer seja tecnicamente possível sem um evento de logoff de algum tipo. Contanto que eles tenham uma sessão / processo ativo que foi originalmente criado enquanto um membro do grupo, o contexto dessa sessão / processo continuará a ser um membro do grupo até que seja encerrado. É a mesma razão pela qual eles precisam fazer logoff / logon para "ativar" a associação ao grupo para começar.
Agora, existem várias maneiras de forçar um logoff no tempo pré-determinado. Mas acho que é o mais próximo que você conseguirá sem modificar ou aumentar o subsistema de segurança do Windows (com um produto de terceiros, por exemplo).