Non puoi creare una policy che escluda l'utente dal poter visualizzare risorse del computer, alla quale abbinerai anche l'esclusione del permesso di salvataggio???
Se la abiliti da server, l'utente deve far parte di una OU e LU, alla quale imposterai quel criterio.
In questo modo la policy viene impostata solo per quell'utente.