Alejo, amigo...haber si te puedo ayudar con tu incongnita....

No pierdas en efecto NESTING por defecto en un dominino AD 2003. En un
server antes de convertirse en DC, solo existe el usuario Administrador, y el
local machine group Administrators, cuyos derechos son los todopoderosos en
ese equipo...hasta ahi todo claro....
luego de elevarlo a DC, se crean los grupos Domain Admin (es cual por
defecto se hace miembro de Administrators), Enterprise Admin (solo si es el
root domain y que tambien por defecto se hace miembro de Administrators), por
consiguiente la unica cuenta Administrator es miembro del local domain group
Administrators y de Domian Admin, asi como del enterprise admin.

El grupo global Domain Admin, por si solo, no posee ningun derecho, todos
sus derechos son obtenidos desde el momento que se hace miembro del grupo
local Administrators (lo cual es automatico al crear un DC), lo puedes
comprobar sacando el Domain Admins del grupo Administrators (lo cual no
recomiendo) y veras los efectos que tiene.

Ahora, el contexto es asi, el grupo local Administrators son los dioses para
administrar los controladores de dominio al igual que los Domain Admin por el
efecto del nesting, y el grupo domain admin tiene poder del todopoderosos en
todos los equipos del dominio (automaticamente se hacen miebro del local
machine group Administrators de cada equipo que entra al dominio)

Espero haberte ayudado....

Saludos Cordiales