As permissões padrão no Active Directory não são configuradas para um ambiente com vários interessados. Você terá que fazer modificações nas permissões do estoque para realizar o que está procurando. Essa é apenas a natureza do design do produto.
Se você conseguir fugir de uma única floresta do AD e migrar para várias florestas de conta sem relações de confiança entre si (o que, sem dúvida, a licença do Windows Server 2012 Datacenter ajuda), você terá que fazer muito menos "hacking" Permissões do AD, uma vez que as florestas são o limite de segurança atômica. Você manteria as florestas de recursos com relacionamentos de confiança intransitivos unidirecionais para as florestas da conta nesse tipo de cenário.