-Почему групповая политика не обновляется как надо?

Вообще зависит. Применяется при входе. Но не только.
Групповая политика и группы безопасности разные вещи, хоть и тесно связаны.
Вы говорите сейчас скорее о группах безопасности.

Если Вы добавили пользователя в группу, то на клиенте она применится при следующем входе. Перезагр. не обязательно - достаточно выйти-войти.
Причем logoff Вы можете юзеру сделать самостоятельно в т. ч. и с сервера удалённо, обладая правами админа ;)

Групповая политика обычно включает в себя некие правила, которые распространяются от домена на клиента - н-р прокси по умолчанию, скрытие дисков, определенный вид проводника по умолчанию, запрет на изменения каких-либо свойств, запрет на запуск каких-то программ и т. д.

Кст, если нужно вызвать иск. обновление политики в ком. строке на клиенте
gpupdate /force

Потом - есть вероятность что Вы можете спутать локального и доменного пользователя. На всякий случай во время экспериментов создайте доменного с другим именем - так Вы точно будете знать под каким зашли. Ведь по умолчанию в домене разрешен как локальный вход на машину так и в домен.

К слову - после входа в домен пароль пользователя "кэшируется". Не удивляйтесь ситуации - если домен будет в дауне, но Вы сможете зайти под доменным пользователем. Это специально сделано, чтобы избежать случаев когда КД не работает и в результате никто в предприятии не может попасть в устройства.