Olá,
Uma boa pratica é neste caso utilizar o Grupo Account Operators, este é um Grupo Limitado do AD que permite que seus usuários executem tarefas corriqueiras de uma Organização, tipo: Criar Usuários, Criar Grupos, Colocar Usuários em Grupos e afins.
Este Grupo possui Direitos Limitados e Não pode mexer em nenhuma Função Administrativa Elevada do AD, tipo alterar permissões e ou incluir Usuários no Grupo Domain Admins.
É uma boa pratica a utilização deste Grupo para este tipo de tarefa, pois até que faz sentido o Grupo de Suporte poder Excluir um Objeto criado por engano ou erroneamente.
Segue um artigo da Microsoft contendo a informação sobre esses Grupos:
https://technet.microsoft.com/en-us/library/dn579255%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396#BKMK_AccountOperators
Com tudo, se mesmo assim você deseja Limitar mais ainda o acesso do Grupo Suporte, segue um artigo da Microsoft que aborda o assunto:
https://technet.microsoft.com/en-us/library/2007.02.activedirectory.aspx
A disposição,
Marcos Roberto de Lima
MCT-MCTS-MCITP-MCP
Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.
