Hola
No deberías cambiar la Defalt Domain Policy para este tipo de configuración. Lo mejor es criar una directiva y vincularla sin cambiar la directiva predeterminada del dominio. Lo que pasa es que bloquear el painel de control es una GPO que esta aplicada a
usuarios por lo tanto si en el filtrado del GPO tienes "usuarios autenticados" se aplicará para todos los usuarios del dominio incluido los adm. He hecho unas comprobaciones y aun que bloquee la herencia en la OU domain cotroller la directiva predeterminada
del dominio sigue aplicándose, puedes confirmar eso en ADMIN. DE DIRECTIVAS DE GRUPO/OU DOMAIN CONTROLLER/HERENCIA DE DIRECTIVA DE GRUPO. Aún que este bloqueada se sigue aplicando la Default Domain Policy.
Solución, Primero crear un grupo de seguridad y agregar todos los usuarios que quiera que se aplique el GPO. Si quieres agregar el GPO al dominio tienes que crear un nuevo GPO vincularlo al Dominio y en filtrado de seguridad quitar el grupo usuarios autenticados,
incluir el nuevo grupo de seguridad que contenga los usuarios al filtrado del GPO.
Puedes usar LDIFDE para criar un archivo por lotes e incluir los usuarios de un tirón.
Un saludo.