Suponho que sua pergunta está em encontrar contas inativas.
Eu uso a ferramenta Oldcmp
do JoeWare. link ainda depois de todos esses anos.
Ele pode encontrar contas inativas do AD observando a idade da senha e, especificamente, LLTS = lastLogonTimestamp
É simples o suficiente para pelo menos começar e mais fácil que o powershell. Em seguida, desabilite essas contas e use o ADUC para criar uma janela de consulta personalizada para contas desabilitadas. Dessa forma, você não precisa mover nada que precise ser reativado mais tarde.
MAS ... Concordo com Hopeless e Mfinni, e diria que é melhor definir claramente o que você planeja fazer com a gerência ANTES de implementar qualquer coisa.