Я думаю, что самым быстрым вариантом будет создание объекта групповой политики для этого пользователя, который добавляет блокированные записи в брандмауэр для всех служб / хостов, к которым вы не хотите, чтобы они обращались.
Вероятно, вам будет легче продвигаться вперед, если через некоторое время вы сможете настроить привилегированную группу пользователей, которую вы добавите по умолчанию в разрешения для общих ресурсов и т. Д. и более низкая группа, которая подпадает под неявное запрещение для большинства служб AD.