Какие разрешения необходимы администратору службы поддержки для создания пользователей в AD?

Попробуйте использовать управление делегированием, поскольку я думаю, что это будет решение для точной настройки этого доступа.

Настройте администратора службы поддержки в качестве группы безопасности в ADUC, если она еще не создана, и оттуда вы можете перейти к просмотру / расширенным параметрам, щелкнуть правой кнопкой мыши подразделение, чтобы быть более конкретным, или домен в целом, указать, какие права (добавить пользователей) и включить группу безопасности.

Взгляни на http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/d7ad344d-0fcf-4a80-9fe0-cac802df25bb для справки.

Предпочтительно делать это на уровне подразделения, делегируя управление, как указывает Николас. Если вам нужно дать им возможность создавать и управлять учетными записями пользователей и группами повсюду, тогда есть группа BUILTIN \ Account Operators. Эта группа работает так же, как и в NT4. Из-за этого у него, вероятно, слишком много прав на то, что вы ищете, но я упоминаю об этом, потому что иногда это именно то, что люди хотят, особенно при предоставлении разрешений через сторонний продукт.

На самом деле правильный ответ - «Создать пользовательские объекты» из всех дочерних объектов.