Sugestão 1
Usando o LDAP, você pode verificar a propriedade userAccountControl para verificar o status da conta do AD.
Este flag é um dado binário expresso em decimais, então você precisa garantir que o valor decimal correto seja calculado e verificado
Por exemplo:
UF_NORMAL_ACCOUNT = 512
UF_ACCOUNT_DISABLE = 2 +
---
514
Portanto, uma conta de usuário desabilitada terá userAccountControl = 514
.
Todas as contas de usuário são contas "normais" (512) - contas não normais são coisas como contas de relações de confiança de domínio (2048), etc.
Existem vários outros sinalizadores em relação a essa propriedade, mas alguns não são válidos apesar das aparências. 512 = ativo e 514 = desativado é confiável para uma conta de usuário padrão, no entanto.
Uma lista útil desses sinalizadores é compilada em SelfADSI.org: link
Sugestão 2
Como alternativa, na sua situação, um método LDAP mais simples pode ser verificar se o caminho da conta está na UO "inativa". Se você definir sua raiz de pesquisa como UO inativa e, em seguida, pegar a lista de contas ali contidas, poderá compará-las à lista de unidades de usuário existentes que você possui.