Provavelmente o recurso SDAdminHolder. Ele bloqueia a herança de permissões para contas que são membros dos grupos protegidos. Você pode confirmar isso inspecionando a permissão nas contas e a permissão do contêiner pai da conta.
Em nosso Active Directory (2008 R2), usei a delegação para dar permissão para editar atributos de informações do usuário, como números de telefone, título, endereço postal, ... para um grupo de usuários não administradores.
Agora, os membros deste grupo podem editar a maioria das informações dos usuários, mas não podem editar as informações dos administradores. Mas por que? Não encontrei nenhuma cláusula de "Negação" que pudesse estar causando isso.