O Voretaq7 forneceu uma boa resposta à sua pergunta específica (o AD não distingue), mas eu quero acrescentar que o que você quer é possível, dependendo de quanto trabalho extra você quer colocar.
Os métodos para isso envolvem conceder aos usuários do suporte técnico permissões específicas e delegadas para executar funções com uma conta de serviço que seja mais privilegiada do que eles, sem efetuar login diretamente como essa conta de serviço.
Todos eles também envolvem ser muito cuidadosos com o tratamento de exceções e as entradas permitidas para que seus usuários não possam fornecer informações inesperadas que explorem os privilégios mais altos da conta de serviço.
Você poderia, por exemplo:
- Faça com que os usuários façam login em uma página da Web com várias opções pré-preparadas, como "mover um usuário" ou "desativar uma conta". Sua entrada pode então ir para o seu servidor e iniciar uma ação pela conta de serviço (por favor, não inclua a função no código da página da Web de tal forma que alguém possa colher as credenciais da conta de serviço usando 'view source'.)
- Use configurações de sessão do powershell . Eles permitem que você delegue um usuário ou direitos de grupo para invocar comandos específicos como outro usuário ou grupo (muito parecido com a delegação de root do Linux abaixo). Move-ADObject é o cmdlet em que você está interessado aqui, mais uma vez, tenha cuidado com a conta que você permite invocam como não têm privilégios excessivos (ou seja, definitivamente não é um administrador de domínio porque você não quer que eles movam seus DC's aleatoriamente!)
Para referência, acredito que o linux tem algo semelhante a isto, com usuários tendo privilégios su limitados para fazer coisas específicas com comandos específicos (eu encontrei vários recursos com um google para 'delegação de root').
