Я могу использовать rdp windows server 2016 dc, но не могу получить доступ к диспетчеру сервера или пользователям и компьютерам активного каталога

Я новичок в администрировании Windows Server, я сейчас работаю в лаборатории по активному каталог, поэтому я настроил Windows Server 2016 DC, в котором я создал два OU, в этих OU я создал несколько пользователей,

я хочу делегировать управление этими OU группе тех пользователей, которых я создал, и я хочу эта группа должна иметь возможность создавать, изменять и удалять любой объект в этих OU и их подчиненных OU, но не иметь возможности читать, писать или изменять другие OU. Другими словами, поправьте меня, если я ошибаюсь. Я не хочу, чтобы эта группа была членом администраторов домена

, так как в заголовке моего вопроса сказано:

Я хочу, чтобы члены этой группы имели возможность rdp-сервера контроллера домена (который мне удалось настроить)

и иметь возможность запустить диспетчер серверов, DNS, пользователей и компьютер с рекламными инструментами, которые я не могу понять, потому что как только я открыл сеанс rdp с членом этой группы, диспетчер серверов не перестал работать, и когда я пытаюсь обедать его, а также DNS или пользователей и компьютер с инструментами AD, я получаю следующее всплывающее окно mmc, которое запрашивает у меня критические данные администратора, см. Изображение mmcpopup

возможно ли иметь такую ​​конфигурацию? и если да, то как?

заранее спасибо за ответы