Возможно ли разрешить выполнять программы с папки «windows» и «program files», а остальные запретить на клиентских пк?

Именно через политики. На контроллере домена, в оснастке групповой политики создаёте новый объект и связываете его с группой, содержащей те компьютеры, на которых надо ввести запрет. В этом объекте добавляете записи
Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Дополнительные правила
ПКМ, Создать правило для пути
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, уровень - Неограниченно
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%, уровень - Неограниченно
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%, уровень - Неограниченно

-> Уровни безопасности -> Запрещено, нажать кнопку "По умолчанию"

Если надо, чтобы локальные админы могли запускать программы из других папок, то
-> Применение
Применять политику для всех пользователей, кроме локальных администраторов.

Конечно возможно. Почитайте про Applocker, через ГПО распространяете и наслаждаетесь.

GPO есть локальные, а есть доменные - видимо вы правите не те.