Bienvenido al foro marcosyunior
Caramba si un usuario local puede entrar a tu AD entonces la cosa esta brava de verdad?
Vamos puedes aplicar GPOs y forzarle una regla Hash aqui hay un ejemplo de una regla Hash...
http://freyes.svetlian.com/blog/hash/regla-hash.htm
Es el mismo principio con el Office u otras aplicaciones que quieras denegar el acceso
Este es mi punto de vista no se si otro lo ve diferente
suerte...