Предоставление пользователям OU разрешения включать и отключать пользователей их собственных OU

Я хочу, чтобы пользователи OU имели доступ для включения и отключения учетных записей пользователей в их собственном OU.

Я считаю, что для этого мне нужно предоставить свойство Read и Write userAccountControl субъекту безопасности SELF рассматриваемого подразделения следующим образом:

Я хочу убедиться, что все делаю правильно. Потребуются ли им какие-либо другие разрешения для включения и отключения учетных записей? Фактически они будут запускать программу, которая напрямую изменяет атрибут AccountDisabled.