Meglett a megoldás, amit röviden vázolnék is:
A user az egyik szerverre RDP-vel be volt jelentkezve, mivel van olyan szoftver, ami itt fut és praktikussági megfontolásból nem rakjuk fel kliens pc-re.
A user nem lépett ki a szerverről csak bezárta az rdp-t, így ez a sz..r reflexből tiltotta ki a usert közvetlenül a feloldás után. Amint kivágtam a usert a szerverről, egyből fel tudtam oldani a fiókját és be is tudok lépni vele, szóval hétfőn már használhatja a saját fiókját.
Mindenkinek köszönöm az ötletet, a megoldáshoz végül az eseménynapló és a 4740-es eseményazonosító (thx MS fórum) vezetett.