Список пользователей входит в главный модуль, соответственно его настройки прав распространяются и на этот список. Как вариант закрыть доступ к файлу /bitrix/admin/user_admin.php для этой группы. Да пункт в меню останется, но вот посмотреть их список будет нельзя.
Но опытного разработчика это не остановит, так как есть еще просмотр таблиц в разделе Производительность, а еще PHP песочница, все это по такому же принципу нужно закрывать.