Você vai se deparar com o fato de que as permissões padrão no Active Directory são bastante permissivas em relação a "Usuários autenticados", um "grupo" do qual qualquer usuário que você criar será membro. Por padrão, existe um "Usuários / leitura autenticados" no topo da partição de domínio do diretório.
Tentar alterar essas permissões padrão será problemático se você quiser ficar "com suporte" com a Microsoft (além de ter tudo funcionando conforme o esperado).
Se você realmente quiser limitar o acesso severamente, terá mais sorte em replicar dados do AD para outro diretório LDAP ( Serviços AD LDS (Active Directory Lightweight Directory Services) ou OpenLDAP, por exemplo) com permissões mais restritivas que o Active Directory por padrão.
Você pode encontrar um proxy LDAP para fazer a mesma coisa. Há vários deles por aí, mas nenhum que eu tenha experiência direta com isso eu possa garantir.