Как известно заблокированный пользователь в active directory не блокируется в Lync в связи с чем пользователь может продолжать пользоваться Lync. Чтобы избежать этого предлагаю настроить автоматический запуск следующей команды:
Get-CsAdUser -ResultSize Unlimited | Where-Object {$_.UserAccountControl -match «AccountDisabled» -and $_.Enabled} | Disable-CsUser
Get-CsAdUser получает список заблокированных пользователей {$_.UserAccountControl -match «AccountDisabled» -and $_.Enabled} и передает эту информацию Disable-CsUser