Eu não usaria a guia de segurança diretamente. Em vez disso, clique com o botão direito do mouse na OU e use a delegação do assistente de controle. Por meio dele, você pode delegar o direito de criar, excluir e gerenciar contas de usuário ou, se desejar apenas dar a alguém a capacidade de criar contas de uso, optar por criar uma tarefa personalizada e atribuir apenas o direito de criar contas de usuário.
Quanto ao grupo, você também pode delegar tarefas de grupo.
Além disso, cada grupo tem um gerenciado por guia, você pode fazer o seu helpdesk agrupar o gerente de seus outros grupos usando essa guia para que eles possam ajustar a associação desse grupo (isso não é muito escalável).
Por fim, há o grupo Operadores de contas, você pode tornar as pessoas um membro desse grupo e eles poderão administrar contas de usuários e grupos (não grupos de administradores de domínio), mas concederá a eles direitos em todo o domínio e não UO específica.