A permissão para modificar as propriedades dos objetos do Active Directory (AD) é controlada pelas Access Control Lists (ACLs). As ACLs são aplicadas a objetos explicitamente (sem herança) ou implicitamente por herança do contêiner (OU ou objeto Container) em que o objeto está localizado.
Delegar controle de atributos a um usuário ou grupo (você deve quase sempre delegar permissões a grupos, como um aparte) nada mais é do que alterar permissões em objetos contêineres (mais comumente) ou objetos individuais não contêineres (como contas de usuário e contas de computador - embora, tecnicamente, eles sejam objetos contêineres
.As ACLs não são aplicadas a objetos com base na associação do grupo de segurança dos objetos, que é o que você afirma que está procurando.
Sua melhor opção é organizar as contas de usuário para as quais você deseja delegar o controle em uma UO e delegar o controle sobre essa UO. Se isso não for viável, você está bloqueando as ACLs em cada conta de usuário individualmente.