Можно ли аутентифицировать пользователей MS AD против другого MS AD без доверия?

У меня есть два активных каталога Microsoft, давайте назовем их Внешние и Внутренние,

Что я хочу сделать, это:

• Добавить пользователей во внутреннюю AD без пароля (просто сохраните некоторые другие атрибуты для них).
• Когда пользователь пытается войти в систему, пароль будет проверен по внешней AD.
• Это только для пользователей домена, а не для администраторов.
• Обе активные директории находятся на серверах Windows.
• Я не знаю, какая конкретная версия внешнего сервера. Но я знаю, что это сервер Windows.
• Я могу аутентифицировать пользователей, используя openldap на Linux. Msgstr "Подавая имя пользователя и пароль". Это означает, что можно аутентифицировать пользователей.

Обратите внимание, что я не пытаюсь украсть пароли или что-то еще. Я просто хочу, чтобы моя внутренняя AD отправила имя пользователя и пароль на внешнюю AD, и внешняя будет отвечать, если они совпадают или нет.

В моей компании есть несколько служб, использующих внешний пароль для сотрудников (например, почта Exchange). Я хочу, чтобы они везде использовали одно и то же имя пользователя и пароль.

Вот разрешения, которые у меня есть:

• У меня нет никаких разрешений "Администратор" на внешней AD. Просто обычное разрешение пользователя.
• У меня есть полное разрешение на внутреннюю AD.
• У меня есть полный контроль над компьютерами и пользователями, которые будут пытаться войти во Внутреннюю AD.

некоторые люди предлагали мне использовать межобластное доверие Kerberos, а также направлять меня в нужное место написания этого вопроса. Я просмотрел траст Kerberos между областями, но обнаружил, что мне нужен пароль для доверия, введенного в обеих AD. Что я не могу сделать, так как у меня нет прав администратора на внешней AD.

Ваша помощь очень ценится. заранее спасибо