Я у себя сделал по другому. Ноуты всегда при наличии интернета подключаются по впн от имени системы.
При этом пользователи сами не могут отключить или посмотреть пароль от впн если не администраторы.
Использую планировщик
1. передаем в rasdial32 хост логин и пароль. Он при запуске поднимет профиль виндовс впн который прописан в системе у всех
2. Простой скрипт на PS. Который пингует полное имя сервера AD с доменом, если условно пинг есть то ничего не делает, если пинга нет то запускает первую задачу. В настройках запуск при старте системы и раз в 5 минут все время.
3 года работает, жалоб как у тебя не было