Meu palpite é que você está implicitamente usando autenticação double-hop que é proibida. Ao adicionar um usuário ao grupo na máquina de destino, a máquina de destino está tentando resolver o usuário no Active Directory. No entanto, isso requer uma nova autenticação no Active Directory que é proibida.
Você pode tentar criar uma sessão baseada no CredSSP para direcionar a máquina e emitir o comando na sessão. Exemplo (não testado):
$credential = get-credential
$session = New-PSSession -ComputerName $targetmachine -Credential $credential -Authentication Credssp
Invoke-Command -Session $session -ScriptBlock {
$de = [ADSI]"WinNT://$using:targetMachine/$using:group,group"
$de.Add("WinNT://$using:domain/$using:user")
}
Consulte o link para mais informações sobre o double-hop e possíveis soluções.
O CredSSP deve estar explicitamente habilitado! No cliente, você deve executar:
Enable-WSManCredSSP -Role Client
E no servidor:
Enable-WSManCredSSP –Role Server
Esteja ciente de que o CredSSP expõe suas credenciais (basicamente de texto simples) para a máquina de destino. Em caso de comprometimento da máquina alvo, suas credenciais também serão comprometidas.