Как известно заблокированный пользователь в active directory не блокируется в Lync в связи с чем пользователь может продолжать пользоваться Lync. Чтобы избежать этого предлагаю настроить автоматический запуск следующей команды:

Get-CsAdUser -ResultSize Unlimited | Where-Object {$_.UserAccountControl -match «AccountDisabled» -and $_.Enabled} | Disable-CsUser

Get-CsAdUser получает список заблокированных пользователей {$_.UserAccountControl -match «AccountDisabled» -and $_.Enabled} и передает эту информацию Disable-CsUser