O OS X pode ter problemas, às vezes, com a autenticação efetiva no diretório ativo. Portanto, ele é armazenado como contas off-line e pode parecer que elas estão sendo autenticadas com o AD, quando não são necessariamente verdadeiras. Pode ser autenticado contra um hash armazenado. Se esse for o caso, o bloqueio não funcionará, pois ele nunca está realmente atingindo o servidor de diretório ativo para ver se você está de fato bloqueado.
Uma das coisas que encontramos para corrigir o problema foi definir um caminho de pesquisa personalizado. Existe uma discussão no fórum de mensagens da Apple sobre esse bug, que não consigo encontrar agora, mas basicamente adicionar manualmente seus domínios do Active Directory no Directory Utility corrige o problema e, se me lembro, confirmar corretamente a criação de contas móveis. Se eu encontrar o post, atualizarei isso.