Sua solução é criar contas administrativas dedicadas no DomB para os usuários selecionados do DomA usarem para administrar o DomB.
Isso impede que um comprometimento no DomA afete o DomB e impede que aqueles que exigem acesso de Admin de Domínio no DomA tenham acesso ao DomB.
Agora, você poderia
- Crie um novo grupo de segurança "DomB Admins" ou algo assim (sem acesso privilegiado no DomA) que possa ser usado para delegar o acesso necessário no DomB.
- Você pode proteger o grupo "DomB Admins" com modificações apropriadas na ACL para impedir que os administradores do DomA \ Domain modifiquem a associação ao grupo
É verdade que esta segunda opção será um tanto inútil, pois os administradores de domínio poderão alterar a ACL no grupo em questão. E, se o novo grupo estiver protegido contra a modificação do Admin. Do domínio, um administrador de domínio poderá apropriar-se do grupo e alterar a ACL.
Em termos teóricos, essa preocupação deve ser relativamente infundada, porque somente usuários que absolutamente exigem acesso de Admin. do Domínio devem ser membros do grupo Admins. do Domínio (mais sobre isso depois). Além disso, as modificações dos grupos administrativos devem ser monitoradas, revisadas e auditadas.
Então, como existe atualmente, sua maior falha de segurança é o fato de você ter contas no grupo Admins. do Domínio que não podem (por sua pergunta) pertencer a elas. Sua segunda maior falha de segurança seria o fato de que um comprometimento de uma floresta compromete automaticamente a segunda floresta.
Quando a pessoa se encontra fazendo a pergunta "como eu limito o acesso de Administrador do Domínio" ou "como eu protejo um recurso contra modificações feitas por administradores de domínio", existe um erro de configuração. Porque eles não são projetados para serem limitados.