Com uma configuração do Active Directory, você pode apenas conceder permissões às pessoas para criar contas. Eles geralmente conseguem efetuar login, mas não têm permissão adicional se o gerente não tiver permissão para editar o grupo Administradores, os grupos contidos e as políticas de grupo.
Sem o AD, você pode precisar de algum tipo de serviço do Windows que faça isso para o gerente (devido à falta de funcionalidade setuid / sudo no Windows).