是否可以将 AD 组成员身份的修改限制到特定的计算机/IP？

我正在尝试设置一个 Powershell 脚本，以便按计划自动将一些用户添加到 AD 组。当我尝试添加用户时，出现以下错误：

Add-ADGroupMember : Insufficient access rights to perform the operation
At line:1 char:1
+ Add-ADGroupMember -Identity "Workfront_Users" -Member $FoundUser.SamA ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (Workfront_Users:ADGroup) [Add-ADGroupMember], ADException
    + FullyQualifiedErrorId : Insufficient access rights to perform the operation,Microsoft.ActiveDirectory.Management.Commands.AddADGroupMember

我确实有能力将用户添加到该组，并且我已确认我在该组上拥有 ActiveDirectoryRights：WriteProperty。

当我向同事提出这个问题时，他们向我展示了将用户添加到组的“正确”方法，即通过 RDP 连接到其中一个 DC，然后使用用户和组工具通过 GUI 添加人员。如果我这样做，我就可以添加用户，但我希望能够自动执行该过程。

我对此的解释是，即使用户拥有正确的权限，修改 AD 组的能力也受到某种限制，仅限于某些计算机（或者甚至仅限于 DC 本身）。我的问题是：这种限制真的存在吗？我不太了解 AD 的安全配置，所以我可能制定了实际上不存在的安全策略。