チャブーンです。
管理者レベルを3つ分けることの妥当性は正直わからないのですが、
たぶん、それぞれの管理者がどのような仕事をしているのか(例えば、アカウント作成・変更・削除担当、ユーザーのマシーンにリモートアクセスをしてサポートしなければいけない)、どのフォールダーにアクセスしているのか、など、事前に調査して、それに基づいて、3つのレベルにわけて、必要な権限だけを与えなければいけないと考えています。
ということであれば、ひとまずそれはきちんと調査されるべきかと思います。ドメイン管理者の仕事?がよくつかめない、あるいはどんな権限に分かれているのか、というをあらかじめ知っておいた方がいいとも思いますので、したの資料の"Default security groups"の内容には目を通されておかれたほうがいいかと思います。
"XXX Operetors"というグループは、ドメインコントローラーで特定作業を行う専任オペレーターのためのグループですし、"XXX Admins"というグループは特定領域の管理権限だけを持つグループになります。
https://msdn.microsoft.com/en-us/library/dn579255(v=ws.11).aspx
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
