Использование группы Active Directory в качестве сетевой группы в sssd

У меня есть домен Active Directory с несколькими Linux-серверами, которые взаимодействуют с AD через sssd. Я хочу иметь разные конфигурации sudoers на разных серверах, и я знаю, что это можно сделать через сетевые группы. До сих пор мне удавалось включить несколько серверов в сетевую группу, добавляя объект nisNetgroup в AD и добавляя серверы в атрибут nisNetgroupTriple этого объекта (и устанавливая параметр ldap_netgroup_search_base в sssd.conf). В результате я могу успешно запросить сетевую группу на серверах Linux, используя getent:

$ getent netgroup <имя>
<имя> (<сервер>.<домен>,,)

Изменение членства в сетевой группе выполняется путем изменения атрибута nisNetgroupTriple объекта nisNetgroup. Это означает, что пользователь с правами на изменение объекта может поместить любой сервер в сетевую группу. Я хотел бы еще больше заблокировать это, например, используя стандартную группу AD, где пользователю потребуется разрешение на изменение группы и учетной записи компьютера, чтобы добавить компьютер в группу. Возможно ли, чтобы sssd использовал стандартную группу AD в качестве сетевой группы?