Isso é confuso: "a limitação parece ser aditiva - não há como (que eu saiba) definir uma exceção para um usuário específico." Não tenho certeza do que você quer dizer porque você deve ser capaz de definir exceções.
Faça login como usuário e defina sua entrada de registro HKEY_CURRENT_USER específica para permitir que ele acesse dispositivos USB desligando a entrada. Se ele não for um administrador, essa entrada do registro não será salva, portanto você terá que conceder direitos de administrador, mesmo que apenas enquanto fizer a alteração (efetue logout e login novamente se fizer dele um administrador) ou faça login como administrador e localize sua seção em HKEY_USERS e altere-a como administrador.
Você precisará definir todos os outros que atualmente têm perfis para não permitir isso.
Agora, para configurá-lo para todos os usuários futuros, navegue até
HKEY_USERS.DEFAULT\Software\Policies\Microsoft
a estrutura de chaves provavelmente termina aqui, então adicione o restante, incluindo o valor DWORD "Deny_All". Qualquer novo usuário que fizer login receberá essa configuração.