Não há funcionalidades integradas no produto para fazer o que você está procurando.
Os grupos de segurança não têm um mecanismo de ACL para controlar quais membros são adicionados, somente quem pode modificar a associação. O que você tem é um enigma interessante. No mundo do sistema de arquivos, o Controle de Acesso Dinâmico (DAC) pode resolver o problema com facilidade, mas a funcionalidade de associação de grupo booleano, semelhante ao DAC, não se aplica a privilégios.
Sua melhor aposta será roteirizar algo, infelizmente. Você provavelmente pode escrever um script que receba alterações de notificações para tornar operação quase em tempo real, versus execução em um horário definido.
Existem sistemas de gerenciamento de AD que podem fazer o que você está procurando. Eles trabalham restringindo as alterações de associação de grupo apenas ao contexto de segurança do sistema de gerenciamento do AD, forçando você a usar o próprio sistema de gerenciamento para executar alterações na associação de grupos.
Você também pode zombar de algo assim para esse grupo. Você pode limitar as alterações de associação em seu grupo "Restrito" a um contexto de segurança específico e, em seguida, executar um script nesse contexto que altere a associação.
Existe uma boa chance de criar algo assim que você poderia criar vulnerabilidades? Sim absolutamente! Tenha cuidado, se você optar por fazer algo assim.