اکسس لیست در گروپ آبجکت هایی که از گلوبال کاتالوگ ها دریافت کردیم

سلام ببخشید من یک سوال کوتاه داشتم . ما تا الان فهمیدیم هر آبجکت در محیط اکتیو دایرکتوری ما میتونیم بیاییم براش ACL تعریف کنیم که فلان یوزر و یا فلان گروه می تونه دستکاری کنه . و در هر آبجکت بخشی از اون آبجکت اختصاص داره به ACL که اون تصمیم میگیره کی بهش چه دسترسی داشته باشه . مثلا می تونم تعریف کنم فلان گروه آبجکت ، فلان اشخاص نتونن خودشون عضو این گروه کنند ، اجازه اش نمیدم . یا تغییر در آن بدن .  
اما مسئله اصلی اینه من گروه enterprise admin همانطور که می دونیم یک گروه که فقط فقط در دامین روت قرار داره ، و اعضای این گروه می تونه از هر بخشی از دامین باشه ( یعنی اعضایی از دامین های دیگه عضو این گروه کنم ) . خب  مرحله به مرحله . 
دامین روت : example.local .   دامین که من الان داخل اش ام store.example.local مثلا .  من در این دامین store.example.local  به عنوان یوزر Domain Admin میام یک یوزر تو دامین خودم کلیک می کنم ، و تنظیمات اون کاربر گروه ها سرچ می کنم ، و لیست گروه ها اکتیو دایرکتوری میاد ، من روی گروه enterprise admin کلیک می کنم و میخوام که این یوزر عضو این گروه کنم ok میزنم . 
الان من از chat gpt پرسیدم میگه که آبجکت phantom object که از گلوبال کاتالوگ دریافت میشه ( بخشی به اسم ACL نداره و فقط بخش های اصلی آبجکت داره ) . تو این وضعیت با عضو کردن این یوزر ،  گلوبال کاتالوگ آپدیت میشه در گلوبال کاتالوگ آپدیت میشه member of SID  ، و دامین کنترلر ها طبق محتویات جدید گلوبال کاتالوگ خودشون آپدیت می کنند ، اون وقت وقتی  گروه آبجکت اصلی مون که در دامین example.local است می بینه محتویات آپدیت شده ، عضو جدید دارد ، یک SID از فلان دامین به عنوان member خودش اضافه کرده ، ولی این که اجازه این کار نداده .  میخوام بدونم این سناریو مکانیزم اش آیا اینجوریه یا نه فرق داره ؟       آیا مستقیما قبل اضافه کردن user به عنوان ممبر به یک phantom object که اینجا منظور همون enterprise admin است ،   قبل اضافه کردن با دامین اصلی example.local ارتباط برقرار می کند که آیا مجوز عضو شدن به این گروه دارم یا نه ؟   چون ACL تو خود phantom object اونجور که سرچ کردم نوشته بود که موجود نیست . ؟