Problem Einstellung Rechte für einen "Gruppenadmin"

Wir wollen in einem Shop eine Rolle für einen „Gruppen-Admin“ einrichten.
Dieser soll weitere Benutzer anlegen und ändern dürfen, jedoch keine System-Admin-Berechtigung erteilen.

Hierbei ist uns aufgefallen:

  • Um die Zeitzone der neuen Benutzer einstellen zu können, muss der Gruppenadmin die Berechtigung „eigenes Profil ändern“ haben. Dann kann er bei allen anderen Benutzern die Zeitzone ändern (einschließlich die Zeitzone der vorhandenen System-Admins. Bei sich selbst funktioniert das aber nicht!
  • Der Gruppen-Admin kann dann auch alle Daten der Systemadmins ändern! Unter anderem kann er den Systemadmins ihre Berechtigung entziehen!

Ist das für euch nachvollziehbar?

Insgesamt scheint mir da einiges gegen die Regel zu verstoßen, dass man niemandem Rechte erteilen/entziehen können darf, die man selbst nicht hat.

Hat jemand von euch jemand eine Lösung für solch eine Konstellation?