В нашей Active Directory (2008 R2) я использовал делегирование, чтобы дать разрешение на редактирование атрибутов информации о пользователях, таких как номера телефонов, титул, почтовый адрес, ... группе пользователей без прав администратора.
Члены этой группы теперь могут редактировать информацию о большинстве пользователей, но не могут редактировать информацию об администраторах. Но почему? Я не нашел никаких оговорок "Отклонить", которые могли бы вызвать это.
Вероятно, функция SDAdminHolder. Он блокирует наследование разрешений для учетных записей, которые являются членами защищенных групп. Вы можете подтвердить это, проверив разрешение для учетных записей и разрешение родительского контейнера учетной записи.