Ist es möglich, MS AD-Benutzer gegenüber einem anderen MS AD ohne Vertrauensstellung zu authentifizieren?

Ich habe zwei Microsoft Active Directorys, nennen wir sie extern und intern.

Ich möchte Folgendes tun:

• Fügen Sie Benutzer ohne Kennwort zum internen AD hinzu (speichern Sie einfach einige andere Attribute für sie).
• Wenn ein Benutzer versucht, sich anzumelden, wird das Kennwort mit dem externen AD abgeglichen.
• Dies gilt nur für Domänenbenutzer, nicht für Administratoren.
• Beide Active Directorys befinden sich auf Windows-Servern.
• Ich kenne die genaue Version des externen Servers nicht. Aber ich weiß, dass es ein Windows-Server ist.
• Ich kann Benutzer mit OpenLDAP unter Linux authentifizieren. „Indem ich einen Benutzernamen und ein Passwort eingebe“. Das bedeutet, dass die Benutzer authentifiziert werden können.

Bitte beachten Sie, dass ich nicht versuche, die Passwörter oder ähnliches zu stehlen. Ich möchte nur, dass mein internes AD den Benutzernamen und das Passwort an das externe AD sendet und das externe AD antwortet, ob sie übereinstimmen oder nicht.

In meinem Unternehmen gibt es mehrere Dienste, die das externe Passwort für die Mitarbeiter verwenden (z. B. Exchange-Mail). Ich möchte, dass sie überall denselben Benutzernamen und dasselbe Passwort verwenden.

Dies sind die Berechtigungen, die ich habe:

• Ich habe keine „Administrator“-Berechtigungen für das externe AD. Nur eine normale Benutzerberechtigung.
• Ich habe volle Berechtigung für das interne AD.
• Ich habe die volle Kontrolle über die Computer und Benutzer, die versuchen, sich beim internen AD anzumelden.

Einige Leute schlugen vor, dass ich Cross-Realm Kerberos Trust verwenden sollte und führten mich an die richtige Stelle, um diese Frage zu stellen. Ich habe nach Cross-Realm Kerberos Trust gesucht, aber festgestellt, dass ich für den Trust ein Passwort in beiden ADs eingeben muss. Das kann ich nicht, da ich keine Administratorberechtigungen für das externe AD habe.

Ihre Hilfe wird sehr geschätzt. Vielen Dank im Voraus