La forma mas simple es usando el wizard de active directory, haz click derecho en el nombre del dominio en la consola de Active Directory y luego en la opcion Delegate Control (Imagen 1) y luego el asistente (Imagen 2) te llevara intuitivamente hasta esa opcion y luego deberas asignar a que grupo quieres asignarle este permiso y listo.
La practica recomendable es solo hacer esto a traves de la OU computers y que el administrador solo pueda mover los equipos a las UO´s correspondientes, y para ello deberas hacerlo manualmente mas manualmente:
-
Click Start, click Run, type dsa.msc, and then click OK.
-
In the task pane, expand the domain node.
-
Locate and right-click the OU that you want to modify, and then click Delegate Control.
-
In the Delegation of Control Wizard, click Next.
-
Click Add to add a specific user or a specific group to the Selected users and groups list, and then click Next.
-
In the Tasks to Delegate page, click Create a custom task to delegate, and then click Next.
-
Click Only the following objects in the folder, and then from the list, click to select the Computer objects check box. Then, select the check boxes below the list, Create selected objects in this folder and Delete selected objects in this folder. (Esta opcion en ROJO no es necesaria y la puedes omitir)
-
Click Next.
-
In the Permissions list, click to select the following check boxes:
-
Reset Password
-
Read and write Account Restrictions
-
Validated write to DNS host name
-
Validated write to service principal name
-
Click Next, and then click Finish.
-
Close the "Active Directory Users and Computers" MMC snap-in.
Exitos.!
Exitos.