Utilizarea grupului de director activ ca netgroup în sssd

Am un domeniu de director activ cu o mână de servere Linux care interacționează cu AD prin sssd. Vreau să am o configurație diferită de sudoers pe servere diferite și știu că acest lucru se poate face prin netgroups. Până acum, am reușit să introduc unele servere într-un grup de rețea adăugând un obiect nisNetgroup în AD și adăugând servere la atributul nisNetgroupTriple pe acel obiect (și setând opțiunea ldap_netgroup_search_base în sssd.conf). Ca rezultat, pot interoga netgroup-ul cu succes pe serverele Linux folosind getent:

$ getent netgroup <nume>
<nume> (<server>.<domeniu>,,)

Modificarea apartenenței la netgroup se face prin modificarea atributului nisNetgroupTriple al obiectului nisNetgroup. Aceasta înseamnă că un utilizator cu permisiunea de a modifica obiectul poate pune orice server în netgroup. Aș dori să blochez acest lucru în continuare, de exemplu, utilizând un grup AD standard, unde un utilizator ar trebui să aibă permisiunea de a modifica grupul și contul de computer pentru a adăuga computerul la grup. Este posibil ca sssd să folosească un grup AD standard ca grup de rețea?