Por supuesto que se puede hacer por usuario...bueno más o menos. En el directorio activo puedes definir unidades organizativas (son algo asi como como unos clasificadores). Las gpo actuan sobre estos calsificadores y los elementos que contengan.
Puedes por ejemplo crear una ua para todos aquellos que no deben bajar nada y quitarles esa opción.