Eu não removeria o aninhamento padrão de "DOMAIN \ Usuários do domínio" do grupo "Usuários" local em computadores servidores membros, a menos que você tenha absoluta certeza de que testou totalmente a alteração. Para sua aplicação, onde você está hospedando um aplicativo baseado na web, você pode estar bem. Se esse aplicativo autenticar usuários e personificar suas contas de domínio, você pode estar se colocando em um mundo de pesadelo de solução de problemas. Só você pode saber disso.
Você está se afastando de uma configuração padrão fazendo isso e minha experiência é que a Microsoft geralmente escreve documentação com base no comportamento padrão de seus produtos (e muitos recursos de suporte executam a solução de problemas com base em uma suposição de padrões também).
Eu não vejo o mal, pessoalmente, em ter "DOMAIN \ Usuários do Domínio" sendo um membro de "Usuários". Eu não vejo isso como uma "violação de segurança". A Microsoft tomou muito cuidado nas versões recentes do Windows para garantir que o grupo "Usuários" não seja privilegiado. Essa associação não concede aos membros coisas como a capacidade de Área de Trabalho Remota, capacidade de acessar compartilhamentos de arquivos "Administrativos", a capacidade de acessar remotamente o registro, etc.
O ônus está em você para testar uma modificação como essa e certificar-se de que o ambiente atue corretamente em face de sua mudança. Eu acho que seu tempo é melhor gasto, certificando-se de ter boas políticas de senha, um bom sistema IDS / IPS, regras de firewall bem auditadas, boas práticas de verificação e aplicação de patches, e testes de vulnerabilidade de suas aplicações web. Esse aninhamento de grupo não estaria no topo da minha lista de prioridades de segurança.