Acho que a ideia é oferecer uma versão mais bloqueada.
O grupo que você mencionou não faz sentido, já que é seu único objetivo, mas você notará que isso é exatamente o que eles fizeram nesta atualização em várias outras políticas também.
Como exemplo
Allow log on locally: From: Administrators, Users, BackupOperators To: Administrators
e
Behavior of the elevation prompt for standard users From: Prompt for credentials on the secure desktop To: Prompt for credentials.
Assim, como uma política padrão, eles tentam enviar para um ambiente Admin apenas por padrão. Por quê? Porque eles querem diminuir a superfície de ataque, tornando o escalonamento de privilégios mais difícil.
Existe uma conversa para saber se a eliminação de grupos / usuários padrão é efetiva e se suas políticas de segurança fazem sentido.
Outro motivo pode estar escondido entre as linhas
[..]have been implemented to meet security and compliance recommendations. where sometimes common sense is devoured.