/etc/security/access.confに以下のような行を追加することで、アクセス可能なユーザを制限する

-:ALL EXCEPT group1:ALL

ここで、行頭の-/+はそれぞれ除外/追加の意。
ALLは全てのアプリケーション。アプリケーション単位で設定してもよい。
EXCEPTは、条件からはずすユーザを指定することを意味する。
この場合、group1に属するユーザはこの制限から除かれるのでアクセス可能。
行末のALLはログイン端末だってさ。（よくわかんない）