Acho que sua opção mais rápida será fazer um GPO para esse usuário que adicione entradas de bloqueio no Firewall para todos os serviços / hosts que você não deseja que eles acessem.
Provavelmente será mais fácil para você avançar se você tiver algum tempo depois para configurar um grupo de usuários privados que você adiciona por padrão às permissões em compartilhamentos / etc. e um grupo menor que cairá sob a negação implícita para a maioria dos serviços de AD.