Suponho que você não deseja torná-lo um administrador de domínio. Portanto, o jeito certo de fazer isso é com o Assistente de Delegação. Vá para a UO onde você deseja delegar o controle (se você não tiver UOs ou quiser conceder esse direito para o diretório inteiro, vá para a raiz da árvore).
Quando você chegar às Tarefas para Delegar escolha pelo menos Criar, Excluir e gerenciar contas de usuário. Olhe para a lista para outras tarefas. Clique para completar o assistente.