Encontrei uma solução para minha pergunta original.
Primeiro, você pode configurar a política de expiração de 90 dias como eu fiz.
sudo pdbedit -P "maximum password age" -C *time-in-seconds*
Em seguida, para fazer o usuário alterar sua senha no primeiro login, basta digitar
sudo net sam set pwdmustchangenow *user* yes
O problema que estou tendo agora é que o Windows não permite que um usuário altere sua senha. Apenas os alerta que eles precisam alterar sua senha. Estou postando uma nova pergunta sobre esse novo erro.