Dar permissão para usuários não administradores para adicionar computadores no domínio

• Click Start, click Run, type dsa.msc, and then click OK. 
• In the task pane, expand the domain node. 
• Locate and right-click the OU that you want to modify, and then click Delegate Control. 
• In the Delegation of Control Wizard, click Next. 
• Click Add to add a specific user or a specific group to the Selected users and groups list, and then click Next. 
• In the Tasks to Delegate page, click Create a custom task to delegate, and then click Next. 
• Click Only the following objects in the folder, and then from the list, click to select theComputer objects check box.
• Then, select the check boxes below the list, Create selected objects in this folder and Delete selected objects in this folder.
• Click Next. 
• In the Permissions list, click to select the following check boxes: 
• Reset Password 
• Read and write Account Restrictions 
• Validated write to DNS host name 
• Validated write to service principal name
• Click Next, and then click Finish.
• Close the “Active Directory Users and Computers” MMC snap-in.

Source: http://support.microsoft.com/kb/932455

Permissão para grupo não Admin para derrubar sessão em TS

Tive a necessidade de dar permissão a um usuário não admin para derrubar a sessão do TS, para isso executei os passos abaixo

• Criar um grupo e dar uma permissão específica para que um usuário não administrador possa realizar estas ações, abaixo os passos realizados
• Criado um grupo de usuários TS_Disconnect_Group 
• Executado o comando abaixo 
• wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "domain\group",2 

• Incluído o usuário no grupo

Fonte: https://social.technet.microsoft.com/Forums/windows/en-US/7012f60c-327e-4969-b336-1b643b2166d5/delegate-permissions-to-disconnect-and-sign-off-user-sessions?forum=winserverTS