A maneira de fazer isso é executar um script de logon que registra data, nome de usuário e nome do host toda vez que um usuário efetua logon no domínio; você pode definir isso no Active Directory. Você precisaria apenas analisar esse local de log centralizado onde você salvaria essas informações.
Outra possibilidade é analisar o log do controlador de domínio, mas isso se mostrou lento e impraticável para nós.
Você pode verificar o arquivo C:\Users\<user>\NTUSER.DAT
: se a data da última modificação for anterior a 90 dias ... zap o perfil!