Предоставление минимально необходимых прав для добавления компьютера в домен - без использования делегирования

Следуя принципу Least-Privilege Administrative Model Мне нужно создать пользовательскую группу, которая давала бы своим членам разрешение на добавление компьютеров в домен, но ничего другого, что могло бы представлять угрозу безопасности.

Итак, я создал свою группу в AD (назовем ее "Domain Manager") и назначил в нее пользователя тестового домена.
Затем я перешел в диспетчер групповой политики и создал GPO. Внутри GPO я перешел в Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователей. и добавил мою пользовательскую группу в политику Добавить рабочие станции в домен.

В точности следуя методу 1 из этой статьи: https://www.prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/

Далее я связал GPO с OU с одним компьютером только для тестирования (и запустил gpupdate /force для надежности). Я удалил этот компьютер из домена и попробовал добавить его снова с учетными данными моего тестового пользователя (добавленного в пользовательскую группу) - ничего не получилось (получил ошибку Access Denied). Затем я попробовал сделать то же самое, но назначить GPO на весь домен - снова та же ошибка.

Я поискал еще немного и нашел эту заметку от Microsoft https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers

И это имеет смысл, поскольку мой тестовый компьютер ранее был в домене, поэтому мне нужно сбросить пароль. Но я не могу найти эти параметры в GPO.

Можно ли добиться этого без использования делегирования? Я что-то упускаю в GPO?