Hola Marco.
Veamos, hace tiempo me vi involucrado en un lio de semejante tamaño.
La idea que me llevé de todo eso es que, las cuentas de equipo / usuario siempre existen en la red hasta que AD diga lo contrario. Me explico.
Dada la forma de funcionar AD, una cuenta puede pertenecer a una persona que ya no la va a usar más o por el contrario de alguien que la use en intervalos de tiempo muy grandes, por lo que aunque parece que no está en uso, si lo está. ( como mucho puede que esté desactivada or el intervalo de tiempo desde el último logeo )
En mi momento solucionamos el tema poniendo una fecha límite que comparabamos con la fecha de último acceso del usuario, dado que cuando accedes a AD ( al entrar en una máquina de ese dominio por ejemplo ), queda registrado, entre otras cosas, la fecha en la que se está registrando.
Nosotros pusimos un margen ( impuesto por el cliente ) de 18 meses. En caso de que la fecha de ultimo acceso de una cuenta fuera de hace 18 meses, esa cuenta de acceso no la teniamos en cuenta para los procesos que teníamos que realizar.
Lamento no poder 'pegarte' nada de código de ejemplo para que lo puedas cotillear, pero no tengo nada ahora mismo disponible.
Espero haberte ayudado aunque sea un poco.
Un Saludo.
