問題はありませんし、既定でも一般ユーザー権限で10台までのコンピュータをドメインに参加させることが可能です。

この10台の制限を解除するには、ご質問のようにドメインコントローラポリシーの[ユーザー権利の割り当て][ドメインにワークステーションを追加]にDomain Usersを追加したり、リソースキットに含まれるldp.exeやサポートツールのadsiedit.mscなどを使う手もあるようです。

[参考]
・Active Directoryドメインに一般ユーザーの権限でコンピュータを10台以上参加させたい http://itpro.nikkeibp.co.jp/article/Windows/20050902/220507/

早速の回答ありがとうございます。

現在コンピュータアカウントを勝手に登録されないようにadsiedit.mscを使って
msDos-MachineAccountQuotaを0にしてあります(10台すら登録できない)。

ということで管理者がコンピュータアカウントを登録し、その際にそのコンピュータ
アカウントをドメインに参加させる権限を既定のDomain AdminsからDomain Users
に変更することで対応しております。これが10件程度の登録ならば運用も可能
だったのですが今回1,000件近い登録が必要となったため、dsaddコマンドで
一括でコンピュータアカウント登録作業を行うことを検討しております。

そうすると…これまで手動で変えていたDomain Admins→Domain Usersが
コマンドで変更できそうにないのです。ということで困り果てている状態です。

すいませんようやく質問の意図がわかりました。

確かにdsaddで追加するときや、追加した後に、「コンピュータをドメインに追加するためのアクセス許可」を設定する方法が見つかりません。
そもそもこのとき指定したユーザーやグループをどこに保存しているのかよくわかりません、csvdeでコンピュータアカウントを書き出してみてもそれらしいものはないし・・・

現時点ではお手上げです、申し訳ありません。

チャブーンです。

> 登録する権限を与えるユーザやグループ」という設定項目があり、Defaultでは
> 「既定：Domain Admins」となっております。

この操作ですが、該当するコンピュータオブジェクト自体にアクセス許可を加える意味になります。

たとえばうえを「特定のドメインユーザ」に変えて設定し、OUなどを右クリック [表示] - [拡張機能(V)] を ON にして、コンピュータアカウントのプロパティの [セキュリティ] タブをみれば、そのユーザにアクセス許可(パスワードのリセットなど)が与えられていることがわかります。

つまり、ツールの設定を変えようとするより、普通の状態でコンピュータオブジェクトを作ってから、オブジェクトのアクセス許可を変更することで、同じ効果が得られます。

Active Directory オブジェクトのアクセス許可変更には DsaAcl.exe を使う方法があるはずです。Windows サポートツールに入っているはずですので、インストールして調べてみてはどうでしょう？

ADSI スクリプトでやる方法もあるでしょうが、ちょっと手間がかかりそうですね。

http://www.microsoft.com/japan/technet/scriptcenter/scripts/security/ad/default.mspx

チャブーンです。

ごめんなさい。

Active Directory オブジェクトのアクセス許可変更に使うツールですが、Dsacls.exe でした。うえは間違ってますので、訂正しておきますね。

ありがとうございます。
早速これから検証環境でやってみます。凄いです。

ご回答いただいた皆様に感謝します。