Você não pode fazer isso diretamente do AD, mas pode criar scripts e distribuir via GPO.
Este é um script que deve fazer algo parecido com o que você quer, mas BEWARE: este script como escrito desativa tudo o que não é administrador ou ASPNET. Modifique e teste antes de implantar.