Como esta é uma Política de Computador, ela se aplica a todos, independentemente do acesso.
Você mencionou Citrix; se você tiver uma edição enterprise ou platinum, poderá conseguir algo próximo do que deseja usando o Profile Manager.
Você configuraria o modelo .admx do Citrix Profile Management e criaria um GPO especificando um "perfil de modelo" em vez de um perfil obrigatório. Na política, você pode especificar "grupos processados" ou desabilitar "Logons de processo de administradores locais".
Os perfis de modelo não permitem o uso de perfis obrigatórios exatamente, então você não pode usar um ntuser.man, ele teria que ser um ntuser.dat.
Sinta-se à vontade para recusar isso, minha resposta inicial foi totalmente errada e essa resposta também não é ótima. De alguma forma, ignorei o fato de que, de fato, é uma política de computador.