特定のユーザーのみにドメイン参加の権限を与えたい。

デフォルトではAuthenticated Usersも権限がある。
しかしこれでは全員持っていることになるので、Policyをいじって権限をなくす。

Policyで特定のユーザーを設定可能だが、
なんと10回しか参加させることができない。
スキーマをいじって回避できなくもないが、そんなのは嫌だ。

いろいろ調べた結果、ユーザーにComputersコンテナへの
コンピュータオブジェクトの作成権限を委譲することで目的が果たせることがわかった。

これですべて解決。