Por padrão, uma conta de usuário tem acesso de leitura à maioria dos outros objetos e seus atributos no AD. Você pode minimizar o acesso atribuindo uma senha aleatória longa e criando um grupo de segurança especial para essas contas. Na Política de domínio padrão, atribua a esse grupo os seguintes direitos do Windows localizados em Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Atribuição de direitos do usuário:
- Negar acesso a este computador pela rede
- Negar logon como um trabalho em lotes
- Negar logon como um serviço
- Negar logon localmente
- Negar logon pelos Serviços de Área de Trabalho Remota
Se marcar a conta como desativada não for uma opção, convém testar se outros atributos da conta funcionariam para impedir efetivamente que a conta fosse usada, como marcar a conta como Expirada (guia Conta > Definir data de expiração em passado) e / ou SmartCard necessário.