A maneira de saber com certeza que ele não pode fazer logon interativamente em seu servidor de e-mail é
- Ter segurança física do servidor, conforme Greg declarou.
- Bloqueie o Acesso à Área de Trabalho Remota para usuários comuns.
- Verifique se ele não está dentro de nenhum grupo que possa fazer login em servidores ou computadores, ou
- Verifique se é em um grupo restrito a não conseguir fazer logon em nenhuma máquina.
Por exemplo, em um ambiente anterior em que estive, tínhamos um grupo no AD onde colocamos contas que não queríamos fazer login nos computadores e, em nossa política de domínio padrão, definimos essas contas para que essas contas não pudessem fazer login estações de trabalho. Eles têm acesso a email, mas não podem fazer logon nos computadores.
Se tivéssemos máquinas que precisavam fazer login, essas máquinas seriam colocadas em uma unidade organizacional especial com herança bloqueada e sua própria política criada.