Как автоматически включить делегирование Kerberos в Центр администрирования Windows на всех серверах?

Мы хотим использовать Windows Admin Center для управления нашей средой; WAC будет работать на выделенном сервере в режиме шлюза, а администраторы будут управлять серверами через WAC.

Для этого требуется настроить ограниченное делегирование Kerberos, чтобы WAC мог работать на серверах от имени пользователей; это хорошо документировано и работает следующим образом:

      $wac = Get-AdComputer "WAC Server Name"
$server = Get-AdComputer "Managed Server Name"
Set-ADComputer $server -PrincipalsAllowedToDelegateToAccount $wac

Конечно, это можно легко написать для нескольких серверов.

Однако нам бы хотелось, чтобы это было автоматизировано: когда к домену присоединяется новый сервер, шлюзу WAC автоматически должно быть предоставлено делегирование Kerberos для управления им.

К сожалению, похоже, это не настоящий ACL для объекта-компьютера; поэтому кажется невозможным справиться с этим с помощью ACL на уровне подразделения или домена. Кроме того, похоже, для этого нет каких-либо настроек объекта групповой политики (или, по крайней мере, я не смог их найти).

Как мы можем автоматически включить делегирование Kerberos на шлюз WAC для всех компьютеров, когда они присоединены к домену?