Você não pode fazer o que está pedindo. Os usuários de um domínio podem ser adicionados ao grupo "Builtin \ Administrators" de outro domínio, o que permitirá que eles gerenciem todos os controladores de domínio nesse domínio, mas isso não é o mesmo que dar a eles o Domain Admin, que fornece direitos implícitos de administrador em todos os membros do domínio.
Isso geralmente é feito de duas maneiras:
-
Cada administrador tem uma conta de administrador de domínio por domínio que deve gerenciar.
-
A conta de administrador do domínio "inicial" é adicionada ao grupo "Builtin \ Administrators" e feita como admin local em todos os membros do domínio por meio de grupos restritos de preferências de grupos de GPP.
Como você disse, os grupos globais só podem conter entidades de segurança de seu próprio domínio e o escopo do grupo de administradores do domínio não pode ser alterado.
Para resolver suas edições, elas terão permissões semelhantes ao grupo de administradores do domínio nesse ponto.