Ограниченные возможности управления подразделением Windows

Наша организация недавно претерпела изменения в отношении мер безопасности, и у меня есть требование, которое интересно, можно ли его реализовать.

Итак, наша команда (скажем, Джим, Тим, Джонни, Сонни и Мэри) управляет доменами для клиентов (1,2,3,4,5,6,7). Как мы это делаем сейчас, мы создаем пользователей в этом подразделении, создаем группы безопасности и предоставляем пользователям доступ через группу безопасности к соответствующей среде клиента. Что-то вроде этого

По мере поступления новых клиентов (8,9,10) мы будем создавать такие группы безопасности и добавлять необходимых пользователей. Я хочу добиться, чтобы только Джим и Тим могли управлять группами безопасности Cust 3 и Cust 4 (SG) для добавления и удаления пользователей в этих SG, сохраняя при этом возможность изменять Cust 1,2,5,6,7 и создавать / изменение Cust 8,9,10 SG и т. д. Они были бы как суперадминистраторы (не знаю, есть ли это даже термин в Windows AD). Теперь Джонни, Сонни и Мэри сохранят возможность изменять Cust 1,2,5,6,7 и впоследствии также добавлять Cust 8,9,10, если возникнет необходимость, но у них не должно быть абсолютно никаких прав на изменение Cust 3 и 4. Они могут иметь права чтения / просмотра не более

. Соглашение об именах, которое мы обычно следуем при создании групп SG: [Cloud] - [Customer] - [Access]. Возможно ли добиться этого с помощью создания какой-то роли или объекта групповой политики, который выполняет поиск по шаблону регулярных выражений и ограничивает указанные ресурсы.

В настоящее время все мы являемся администраторами домена. Мне, вероятно, придется создать еще один контейнер и включить в него Джонни, Сонни и Мэри, в то время как Джим и Тим указаны как администраторы домена. Идк, просто пытаюсь думать вслух.