O caminho comum seria usar o assistente "Delegação de controle" que faz parte de Usuários do Active Directory & Computadores snapin de console para conceder as permissões nas UOs em questão.
Você teria que escolher os tipos de objeto que deseja afetar. No seu caso, isso obviamente seria o tipo de objeto "usuário". Mas não há permissão para "mover", você teria que conceder direitos de criação e exclusão de objetos para as UOs em questão. Fazer isso obviamente permitiria também a exclusão de objetos do usuário, mas é assim que funciona - um movimento é uma operação de criação / exclusão. Consulte o artigo da base de conhecimento da Microsoft KB818091 para obter uma referência detalhada.