Предоставление прав администратора домена учетной записи пользователя в разных лесах?

Кто-нибудь знает, как [эффективно] сделать так, чтобы пользователь или группа в одном лесу приобрели привилегии группы администраторов домена в другом лесу?

Очевидный подход добавления Domain Admins@OneForest в Domain Admins@OtherForest не вариант, потому что группа администраторов домена является глобальной группой (и, следовательно, не может иметь членов из других лесов, из-за объема глобальных групп).

Вы можете добавить Domain Admins@OneForest в локальную доменную группу в OtherForest, но тогда вы не можете добавить локальную доменную группу в качестве члена глобальной (или универсальной) группы, что, похоже, приводит к тупиковой ситуации при использовании такого подхода к проблеме.

Я наткнулся на что-то вроде частичного обходного пути (напечатав, я поставлю ответ, чтобы не загромождать вопрос), проблема в том, что он предоставляет права администратора на компьютерах домена, но не сам домен - например, он не 'не разрешать учетной записи между лесами редактировать объекты групповой политики.

Другой подход, который я рассмотрел, и в исследовании которого мне не повезло, - это репликация / клонирование / дублирование группы администраторов домена (но как локальная группа домена, поэтому она может принимать членов из другого домена), но я не могу кажется, найти ресурс, какие разрешения потребуются этой клонированной группе и какие ресурсы. Видя, как это нетривиальная задача определить, какие разрешения имеет данная группа Active Directory, Я надеялся, что появится некоторая документация Microsoft о том, какие разрешения имеют встроенные группы и группы по умолчанию, но все, что я могу найти, это описания их разрешений, что бесполезно при попытке настроить другую группу для соответствия.

Вкратце, кто-нибудь знает, как применить права администратора домена в одном лесу к учетной записи из другого леса?