K8s授权是否支持Windows AD用户组

各位大拿好:
请教个问题,k8s使用pinniped集成后是否支持授权给AD用户组?我今天部署一套k8s集群+pinniped集成AD认证后,在AD中创建了一个叫tanzu-admin的用户组,此组有一个用户叫user1,然后我在k8s中使用命令kubectl create clusterrolebinding id-mgmt-tanzu-admin --clusterrole cluster-admin --group=tanzu-admin@demo.local,之后我使用用户user1@demo.local完成身份认证,但完成命令后kubectl get pods -A --kubeconfig /tmp/id_mgmt_tanzu-admin_kubeconfig后错,提示Error from server (Forbidden): pods is forbidden: User “user1@demo.local” cannot list resource “pods” in API group “” at the cluster scope,想确认一下k8s是否支持此种使用方式?还是说必须为每个用户在k8s里创建一个cluster role binding?