Тоже в этом направлении думаю. По сути, надо получить срок действия паролей с дефолтной политики, затем получить дату изменения пароля текущего пользователя. Первый определяется в секундах. Второй это pwdChangedTime и он выглядит примерно так: 20171221115107Z Вроде похоже на дату )
Получается нужно эту дату перевести в Unix Time прибавить к этому первое число и сравнить с текущей датой. А дальше уже
при помощи того же zenity организовать диалог с пользователем на смену пароля
Радует, что не одного меня такая мысль посетила, вероятно в правильном направлении думаем.
Как что будет получаться, то буду оставлять тут заметки.