Não, os privilégios do Windows são completamente diferentes das ACLs do sistema de arquivos.
Você usa a API do Windows para ajustar programaticamente os privilégios do Windows. Não há GUI. Eles são binários; os privilégios podem ser adicionados ou removidos, mas não há um mecanismo "Negar" como ocorre nas ACLs NTFS, etc.
Por exemplo, eu precisava importar advapi32.dll para o meu código para acessar a função GetTokenInformation (), que, entre outras coisas, contém os privilégios para uma conta de um determinado SID.
Não tenho certeza se concordo com sua afirmação de que o grupo \ Usuários do domínio possui o SeImpersonatePrivilege por padrão. Isso iria prejudicar qualquer tentativa de proteger um ambiente Windows.
Verifique sua política de segurança local e suas políticas de domínio e expanda Configuração do computador - > Políticas - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Atribuição de direitos de usuário e marque a configuração "Representar um cliente após a autenticação". Eu não vejo o grupo Usuários listado em algum lugar.