Como você não mencionou nenhuma restrição até onde a conta só pode ler partes do diretório, não vejo necessidade de pensar nisso. O grupo padrão "Usuários do domínio" já possui direitos mínimos. No entanto, ele tem o direito de ler objetos de usuário, grupo e computador do diretório, que é o que você deseja fazer.
Eu criaria um grupo chamado "Contas de serviço" ou algo semelhante e adicionaria seu usuário especial a esse grupo. Em seguida, modificaria um GPO no nível do domínio que define as configurações "Negar logon local" e "Negar logon pela área de trabalho remota" para o grupo Contas de serviço.
Mesmo que alguém tenha comprometido essa conta, eles não poderão fazer logon interativamente em nenhum computador do domínio com ela, nem terão privilégios suficientes para fazer qualquer coisa útil usando um logon de rede.