После того как процесс Windows получает свой аутентификационный маркер, он может использовать тот маркер до выходов процесса. Существуют некоторые различия, хотя, такие как доступ к ресурсам по сети, где фактическая аутентификация происходит. Даже затем, если Kerberos использовался, и билет обочины сгенерирован, тот билет обочины останется хорошим, пока он не истечет (обычно меньше чем через 24 часа). XP и Win7 работают тот же путь.
Вы хотите ограничить это с помощью свойства «Вход в систему» на вкладке учетной записи учетной записи пользователя в ADUC. Не беспокойтесь об использовании GPO для одного пользователя, которого вам нужно ограничить.