Buen día, generé un grupo en el cual se agregaran usuarios que deberán crear usuarios pero se deben cumplir las siguientes condidicones:

Crear usuarios: Sí
Eliminar usuarios: No
Deshabilitar usuarios: No
Habilitar usuarios: No
Agregar al usuario a un grupo: Sí
Editar los grupos: No (esto no hay problema realmente si puede editar los grupos)

Si delego el control para Crear, Eliminar y Administrar cuentas de usuario, soluciono la creación de usuarios
Si delego el control para Crear, Eliminar y Administrar cuentas de usuario, soluciono la creación de usuarios y quito la opción de eliminar usuario objetos soluciono lo de la eliminación de usuarios
Pero si delego el control para Crear, Eliminar y Administrar cuentas de usuario, soluciono la creación de usuarios (quitando el eliminar usuario objetos) puede habilitar y deshabilitar usuarios

haciendo una pruebas deshabilite la propiedad leer y escribir shadowExpire y funcionó ya no se podía habilitar y deshabilitar usuarios, pero ya cuando estaba afinando detalles e hice la ultima prueba, aún deshabilitado shadowExpire, podían habilitar y deshabilitar usuarios

¿Qué propiedad o qué debo modificar en las entradas de seguridad para que no pueda habilitar ni deshabilitar usuarios?

Espero me puedan ayudar, gracias