Именно через политики. На контроллере домена, в оснастке групповой политики создаёте новый объект и связываете его с группой, содержащей те компьютеры, на которых надо ввести запрет. В этом объекте добавляете записи
Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Дополнительные правила
ПКМ, Создать правило для пути
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, уровень - Неограниченно
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%, уровень - Неограниченно
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%, уровень - Неограниченно
-> Уровни безопасности -> Запрещено, нажать кнопку "По умолчанию"
Если надо, чтобы локальные админы могли запускать программы из других папок, то
-> Применение
Применять политику для всех пользователей, кроме локальных администраторов.