Как включить пользователя другого Windows домена в группу своего

После установки доверительных отношений между доменами появляется возможность использовать учётные данные другого домена для включения в группы безопасности своего.

Можно добавить чужого пользователя прямо в безопасность объекта (шары, файла), но это не соответствует здравому смыслу и рекомендациям Microsoft. Следует добавлять пользователя в группу, а группу указывать в безопасности объекта.

Оказалось, что можно добавлять пользователя чужого домена только в локальную группу в домене, но не в глобальную.