Se você tiver um grupo de ADs "Manager" configurado como uma permissão específica no SharePoint, esse nível de permissão será preenchido para todos os usuários desse grupo. Todos os gerentes que forem adicionados ao Grupo AD serão propagados para as permissões associadas com eficácia quase que imediatamente. O problema é que você gostaria de separar as permissões com base em dados do AD que não sejam do próprio grupo.
Grupos de anúncios são o melhor caminho a percorrer. Eles podem ser facilmente atualizados, fáceis de rastrear no AD, e o SharePoint não precisa rastrear todos os usuários. Basta atribuir o grupo AD ao nível de permissão do conjunto de sites, site, lista, pasta ou documento.