Sử dụng nhóm thư mục hoạt động làm nhóm mạng trong sssd

Tôi có một miền thư mục hoạt động với một số máy chủ linux tương tác với AD thông qua sssd. Tôi muốn có một cấu hình sudoers khác nhau trên các máy chủ khác nhau và tôi biết điều này có thể được thực hiện thông qua các nhóm mạng. Cho đến nay, tôi đã quản lý để đưa một số máy chủ vào một nhóm mạng bằng cách thêm một đối tượng nisNetgroup trong AD và thêm các máy chủ vào thuộc tính nisNetgroupTriple trên đối tượng đó (và đặt tùy chọn ldap_netgroup_search_base trong sssd.conf). Do đó, tôi có thể truy vấn thành công nhóm mạng trên máy chủ linux bằng getent:

$ getent nhóm mạng <tên>
<tên> (<máy chủ>.<tên miền>,,)

Thay đổi tư cách thành viên nhóm mạng được thực hiện bằng cách sửa đổi thuộc tính nisNetgroupTriple của đối tượng nisNetgroup. Điều này có nghĩa là người dùng có quyền sửa đổi đối tượng có thể đặt bất kỳ máy chủ nào vào nhóm mạng. Tôi muốn khóa điều này hơn nữa, ví dụ bằng cách sử dụng nhóm AD tiêu chuẩn, trong đó người dùng sẽ cần có quyền sửa đổi nhóm và tài khoản máy tính để thêm máy tính vào nhóm. Có thể để sssd sử dụng nhóm AD tiêu chuẩn làm nhóm mạng không?