É possível criar um administrador de domínio do Windows com apenas a capacidade de redefinir senhas?

Não. Não há como criar uma conta de administrador de domínio que só pode redefinir senhas. Se uma conta de usuário for um administrador de domínio, eles terão acesso irrestrito ao domínio.

O que você pode fazer é criar um grupo, chamá-lo de Password Resetters, abrir ADUC, clicar com o botão direito do mouse na OU que deseja delegar, selecionar Delegar Controle e seguir as instruções para delegar a redefinição de senha ao grupo que você criou . É uma tarefa comum, portanto, há um modelo predefinido para ele no assistente.

O grupo padrão "Operadores de conta" pode redefinir as senhas em qualquer conta (exceto as de administradores de domínio e outros operadores de conta). No entanto, também permite a modificação da associação ao grupo, outros atributos da conta, etc. Se você não se importar com isso, use Operadores de Conta. Caso contrário, você precisa fazer delegação com ACLs personalizadas.