Uma das grandes vantagens na iimplementação de um serviço de diretórios como o Active Directory é a possibilidade de delegar de modo granular algumas atividades rotineiras (e outras nem tanto) que exigem direitos administrativos.

Antigamente, dizia-se que era "tudo ou nada" , ou seja, a conta pertencia ao grupo super-poderoso "Domain Adminis" ou não. Hoje, com o novo modelo de delegação, é possível criar grupos e configurações especiais e delegar algumas atividades (como troca de senhas, criação de usuários, controle de replicação do AD, backup, restore, etc) para um grupo totalmente customizável.

Isto permite controlar melhor o ambiente e melhorar a segurança, evitando que muitos membros participem do grupo "Domain Admins" ou equivalente podendo causar danos irreparáveis em sua estrutura de diretórios.

Recomendo a leitura do whitepaper Best Practices for Delegating Active Directory Administration que apresenta melhores práticas e cenários que podem ser reproduzidos em seu ambiente.

Lembre-se de sempre ter um ambiente de testes e homologação antes de implementar qualque alteração em seu ambiente principal ou de produção, além de manter uma boa documentação sobre todas as customizações feitas.