Можно ли аутентифицировать пользователей MS AD против другого MS AD без доверия?

У меня есть два активных каталога Microsoft, назовите их внешними и внутренними,

Что я хочу сделать:

• Добавьте пользователей во внутреннюю AD без пароля (просто сохраните для них некоторые другие атрибуты).
• Когда пользователь пытается войти в систему, пароль будет сверяться с внешней AD.
• Это только для пользователей домена, а не для администраторов.
• Оба активных каталога находятся на серверах Windows.
• Я не знаю, какова конкретная версия внешнего сервера. Но я знаю, что это Windows-сервер.
• Я могу аутентифицировать пользователей с помощью openldap в Linux. «Путем ввода имени пользователя и пароля». Это означает, что можно аутентифицировать пользователей.

Обратите внимание, что я не пытаюсь украсть пароли или что-то еще. Я просто хочу, чтобы мой внутренний AD отправлял имя пользователя и пароль во внешний AD, а внешний отвечал, если они совпадают или нет.

В моей компании есть несколько служб, которые используют внешний пароль для сотрудников (например, почта Exchange). Я хочу, чтобы они везде использовали одни и те же имя пользователя и пароль.

Вот разрешения, которые у меня есть:

• У меня нет прав администратора для внешней AD. Просто разрешение обычного пользователя.
• У меня есть полное разрешение на внутреннюю AD.
• У меня есть полный контроль над компьютерами и пользователями, которые попытаются войти во внутреннюю AD.

некоторые люди предложили мне использовать межсферное доверие Kerberos, а также направить меня в нужное место для написания этого вопроса. Я просмотрел межсферное доверие Kerberos, но обнаружил, что мне нужен пароль для доверия, введенного в обоих AD. Я не могу этого сделать, так как у меня нет прав администратора во внешней AD.

Ваша помощь очень ценится. заранее спасибо