Você pode conseguir quase o que deseja com minhas permissões de delegação no Active Directory, no entanto . Acho que o mais baixo que você pode conseguir é por Unidade Organizacional. Não conheço uma maneira de limitar a influência dos grupos de segurança.
Fonte: link