Не работают разрешения групповой безопасности для шаблона сертификата

У меня есть шаблон сертификата, опубликованный на моем присоединенном к домену Server 2016 Enterprise CA - я пытаюсь настроить автоматическую регистрацию сертификатов для наших внутренних веб-серверов.

Когда шаблон имеет разрешения на чтение / регистрацию / автоматическую регистрацию, предоставленные непосредственно учетной записи компьютера, соответствующий компьютер может автоматически регистрироваться.

Когда разрешения на чтение / регистрацию / автоматическую регистрацию назначаются встроенной группе «Компьютеры домена», (любые) компьютеры, присоединенные к домену, также могут автоматически регистрироваться.

Когда разрешения безопасности назначаются глобальной группе безопасности, содержащей учетные записи компьютеров в качестве членов, эти компьютеры не могут автоматически регистрироваться. При использовании «запросить новый сертификат» из диспетчера сертификатов компьютера - я могу выбрать рассматриваемый шаблон, но он не работает с ошибкой «Разрешения на шаблон сертификата не позволяют текущему пользователю зарегистрироваться для этого типа сертификата». Я вижу сбои в CA при выполнении GPUpdate на компьютере, который должен иметь разрешение на регистрацию.

Я подозреваю, что упускаю какую-то глупость - есть ли предложения, что нужно проверить?