Em TechNet :
The ability to create GPOs in a domain is a permission that is managed on a per-domain basis. By default, only Domain Administrators, Enterprise Administrators, Group Policy Creator Owners, and SYSTEM can create new Group Policy objects. If the domain administrator wants a non-administrator or non-administrative group to be able to create GPOs, that user or group can be added to the Group Policy Creator Owners security group. Alternatively, you can use the Delegation tab on the Group Policy Objects container in GPMC to delegate creation of GPOs.
Portanto, se você quiser que alguém crie GPOs, coloque-os no grupo Proprietários do GP Creator ou delegue a permissão para criar e vincular GPOs a outro grupo de sua preferência.
Set-GPPermission realmente não lhe diz respeito. Esse Cmdlet é sobre segmentação, portanto, você pode impedir que um GPO seja aplicado a determinados principais, mesmo que sua localização na estrutura da UO caia sob o escopo desse GPO.