Permisos de usuario / grupo locales para agregar usuario, denegar borrar usuario

En Windows Server 2008, ¿es posible crear un grupo local o un usuario con permiso para agregar otros usuarios pero denegarles el derecho de eliminar a otros usuarios? Usar el directory activo no es una opción para esto.

Si es posible, ¿cómo lograría esto? He estado buscando en el Editor de directiva de grupo local, pero no pude encontrar nada relacionado con estos permissions.

No como una window de derecho o privilegio. Normalmente se confiere como permiso de nivel de contenedor, como una unidad organizativa, pero también se puede asignar más alto.

Normalmente, con este tipo de enfoque, es posible que también sea necesario conferir el permiso para administrar objects de usuario (permitir que ACE lea / escribir todos los attributes), y tal vez también restringir otras actividades, como volver a habilitar counts deshabilitadas ACE para el atributo userAccountControl en la ficha Propiedades).

Es probable que necesite probar esto para asegurarse de que funciona como se esperaba.

introduzca la descripción de la imagen aquí