O Active Directory não funciona dessa maneira. Você se autentica nos controladores de domínio várias vezes durante a sessão, não apenas para o login inicial, mas também sempre que acessa um recurso remoto (compartilhamentos de arquivos, impressoras de rede, servidores de terminal, sites de intranet, etc.).
Portanto, eles têm as permissões de grupo quando fazem login, mas, uma vez que são removidos, vão autenticar para o servidor de arquivos e (corretamente) não têm mais a associação ao grupo apropriada, por isso, recebam acesso negado.
É um requisito bastante estranho, mas isso pode funcionar:
- Crie dois grupos, "permissões do grupo" e "login do grupo"
- Conceder permissões locais para "login de grupo"
- Conceder todas as outras permissões, como compartilhamentos de rede, a "permissões de grupos"
- Adicione o usuário a "permissões do grupo" e "login do grupo"
- Remover o usuário do "login do grupo" após 1 minuto
- Opcionalmente, remova o usuário de "permissões do grupo" depois de um dia ou hora, ou sempre que elas precisarem ser feitas no computador
Você precisará usar o grupo "permissões do grupo" para qualquer coisa que ele autenticar novamente durante a sessão - sites da intranet, compartilhamentos de arquivos, etc.
Dessa forma, eles mantêm uma associação de grupo durante toda a sessão, mas não podem fazer login localmente uma segunda vez. Se você permitir logins remotos (isto é, para um servidor de terminal ou algo assim), provavelmente precisará usar o grupo "group-permissions" para permitir o login remotamente, para que eles possam se reconectar se estiverem desconectados.