Você deve conseguir fazer isso com a Filtragem de segurança do GPO. Crie um grupo para os usuários que você deseja negar acesso ao Painel de controle e adicione os usuários apropriados ao grupo. Criar um GPO com as configurações apropriadas e vinculá-lo à UO onde os objetos de usuário estão (ou ao domínio se os usuários estiverem no contêiner Usuários padrão), defina a Filtragem de segurança no GPO para aplicar somente a esse grupo (e remova Usuários Autenticados).