Что касается AD. Во-первых, правильная структура OU. Типа такой:
Права поддержке выдаются на контейнеры "Company Users" и "Workstations". Обратите внимание, что такая структура позволяет гибко настраивать политики, минимально используя Security Filtering и выстраивая нормальное наследование прав.
OU со всякими важными учетки вынесены на один уровень с OU "Company Users", из тех же соображений.
По делегированию, посмотрите встроенную группу "Account Operators" и какие у нее права на встроенный контейнер Users, к примеру.