По сути, идея состоит в том, чтобы скопировать и обновить 1 OU в главном домене в подчиненный домен. В OU будут входить пользователи и группы. Если новый пользователь создается в главном домене, он будет создан в подчиненном домене. Если пользователь изменит пароль в главном домене, он обновится в подчиненном домене. Примечание: пользователи не меняют свой пароль в подчиненном домене.
В настоящее время я настроил импортную MA для главного домена и экспорт для подчиненного домена в моей среде разработки. Если я настрою поток атрибутов, я могу получить атрибуты обновления в подчиненном домене от главного.
Я открыт для предложений по другому программному обеспечению, которое позволит достичь этой цели.
Не могу говорить о Forefront Identity Manager (хотя он есть в моей организации), но могу поручиться за Менеджер миграции Quest Active Directory. Перед покупкой вы можете загрузить пробную версию.
Мы перенесли тысячи пользователей из одного домена / леса в другой домен / лес и использовали этот инструмент для синхронизации учетных записей между доменами. Он также постоянно синхронизировал их пароли (пока мы не завершили слияние и больше не нуждались в синхронизации)