[GreenIce]

Механиз прост, всех кого вы указали в группе ограниченного доступа, пропишутся в данной группе.
Т.е. вы создаете делаете Restricted Group для группы Администраторы и прописываете в ней определенные пользователи, группы. И в итоге на компьютере к которому будет применена эта политика в групе Администраторы сотрутся все записи которые там были и пропишутся те которые вы указали в политике.

В вашей ситуации насколько я понял вы создали restict для группы Администраторы и прописали в ней только одну группу localadmin. Соответственно на компьютере test в группе Администраторы прописалась только одна группа localadmin (можете проверить, локально зайти кем нибудь и посмотреть членов группы), так как администратор домена не входит в эту группу, соответственно удаленное администрирование стало недоступным, ну и соответственно локальный пользователь Администратор и иже с ними тоже потеряли такую привелегию.