LittleJoO

поднять ещё одни экземпляр OpenVPN на другом порту
под него нагенерить новый ключей
перевести всех клиентов на новый сервер
прибить старый

Пользую the dude (тыц).
Очень крутая программа имеющая серверную часть и клиентскую. При должной сноровки, может тягаться с Zabbix. Умеет обнаруживать устройства и службы на нем, по маске.

Мне Network Scanner нравится.

Системное администрирование это путь в никуда.
Хотите совет? Забудьте про него.

Именно через политики. На контроллере домена, в оснастке групповой политики создаёте новый объект и связываете его с группой, содержащей те компьютеры, на которых надо ввести запрет. В этом объекте добавляете записи
Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Дополнительные правила
ПКМ, Создать правило для пути
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, уровень - Неограниченно
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%, уровень - Неограниченно
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%, уровень - Неограниченно

-> Уровни безопасности -> Запрещено, нажать кнопку "По умолчанию"

Если надо, чтобы локальные админы могли запускать программы из других папок, то
-> Применение
Применять политику для всех пользователей, кроме локальных администраторов.

запретить запись на локальные диски через управление правами NTFS
для операционки нет разницы запись это с флешки или с утюга, все равно изначально идет чтение в буфер в оперативке, потом запись на диск, если запись возможна. В вашем случае задача звучит примерно как "запретить чтение с флешки", но "разрешить запись на флешку". Опять же частично может быть решена через NTFS на флешке, но это дело ненадежное