Você deve usar um grupo de segurança para arbitrar esse acesso, mesmo que o grupo só tenha esse contratado como membro. Quando você precisar refazer isso no futuro para um novo contratado, ficará feliz em usar um grupo.
Veja o que eu faria:
- Crie um grupo "Logins interativos de usuários negados" e torne o contratante um membro.
- Crie um Objeto de diretiva de grupo (GPO) vinculado na raiz do domínio chamado "Negar logon interativo"
- No subnó "Atribuição de direitos de usuário" do subnó "Políticas locais" do subnó "Configurações de segurança" do subnó "Configurações do Windows" do nó "Configuração do computador" eu adicionaria a permissão "Negar logon local" para Grupo "Usuários negados Logon interativo".
Isso seria fácil de remover se você precisasse, e fosse fácil de aplicar a outros usuários (por meio de associação ao grouo) no futuro.