Azért nem teljesen. Domain admin abban a domain-ben tud bármit csinálni, minek admin-ja. Itt meg arról van szó, hogy akár az egész forest-ben matathat admin joggal. Vagyis a forest-ben levő ÖSSZES domain-hez, tree-hez hozzáfér.
Van egy világhálózat, amiben egy porfészek branch admin-ja megszerzi a KDS root key-t (relatíve egyszerű, 1 perc, kell hozzá kb. egy Mimikatz), utána az egész világhálót agyon tudja baszni. Szerintem ez kurva nagy probléma. Nem csak az, hogy a saját admin-od nőhet a fejedre, hanem egy rosszindulatú támadó ha megtöri a branch office-t, onnantól az egész hálót megtörte.
tl;dr: A sérülékenység nélkül csak azt a domain-t tudja lepusztítani, amit sikerült megtörnie. A sérülékenységgel meg az összeset, ami a forest-ben van.