Como configuro o winrm ssl / tls para escutar no 5896 com um GPO

Eu tenho um software de monitoramento com o qual quero começar a monitorar com segurança. Meus objetivos são:

• Use o TLS para criptografia de transporte e não dependa da criptografia de mensagens
• Use uma autoridade de certificação
• Eu quero evitar a execução de algum script do PowerShell em todas as máquinas antes de poder começar a monitorar. Eu quero usar o GPO ou algo similar (eu não sou sysadmin) que faz as mudanças globalmente.
• Eu não quero usar o servidor de compatibilidade porque o IIS ou outro servidor da Web pode já estar presente no host monitorado.
• Ele deve funcionar preferencialmente em qualquer versão de servidor > 2008

Seguindo este tutorial nós (leia, meu colega) chegamos até aqui

C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, 1.2.3.4 

No entanto, no final, temos que executar este comando CMD para ativar HTTPS em 5986

winrm create winrm/config/Listener?Address=*+Transport=HTTPS
@{Hostname="<HOSTNAME HERE>"; CertificateThumbprint="<THUMBPRINT HERE>"}

Eu não posso ser o único que tem esses objetivos? Eu não posso acreditar que fazer isso de uma maneira que parece correta (para mim) é simplesmente impossível.

Também encontramos esta solução alternativa mas preferiria uma solução mais direta.