As permissões granulares mínimas necessárias para delegar essa tarefa são:
Reset Password
Read pwdLastSet
Write pwdLastSet
Você deve criar um novo grupo de segurança, delegar essas permissões a ele usando o Assistente de delegação e adicionar a conta de serviço ao novo grupo.