Eu tenho uma pergunta sobre a configuração da propriedade "Usuário não pode alterar a senha". O grupo de domínio padrão "Account Operators" tem capacidade de alterar essa propriedade? Se não, ele pode ser delegado via delegação AD? Alguém pode explicar em detalhes como fazer isso então. Parece que pode ser difícil delegar isso, pois não é uma propriedade real da conta AD, mas altera ACE "Change Password" para "SELF" na ACL do objeto de usuário que está sendo alterado para Explicit allow ou Deny quando esta configuração está sendo alterado via GUI. Pelo que entendi a delegação de usuários de edição, a ACL oferece ao usuário inúmeras possibilidades e pode ser insegura para o ambiente.