Можно ли аутентифицировать пользователей MS AD с помощью другого MS AD без доверия?

У меня есть два активных каталога Microsoft, назовем их Внешний и Внутренний.

Вот что я хочу сделать:

• Добавляйте пользователей во внутреннюю AD без пароля (просто сохраните для них некоторые другие атрибуты).
• Когда пользователь пытается войти в систему, пароль будет проверен по внешнему AD.
• Это только для пользователей домена, а не для администраторов.
• Оба Active Directory находятся на серверах Windows.
• Я не знаю, какая конкретно версия Внешнего сервера. Но я знаю, что это Windows Server.
• Я могу аутентифицировать пользователей с помощью openldap на Linux. "Указывая имя пользователя и пароль". Это означает, что аутентификация пользователей возможна.

Обратите внимание, что я не пытаюсь украсть пароли или что-то в этом роде. Я просто хочу, чтобы мой внутренний AD отправлял имя пользователя и пароль внешнему AD, а внешний отвечал, совпадают они или нет.

В моей компании есть несколько служб, которые используют внешний пароль для сотрудников (например, почта Exchange). Я хочу, чтобы они везде использовали одно и то же имя пользователя и пароль.

Вот какие у меня есть разрешения:

• У меня нет никаких прав "Администратора" на внешнем AD. Только разрешение обычного пользователя.
• У меня есть полное разрешение на использование внутреннего AD.
• У меня есть полный контроль над компьютерами и пользователями, которые попытаются войти во внутреннюю AD.

некоторые люди предложили мне использовать межобластное доверие Kerberos, а также указали мне правильное место для написания этого вопроса. Я поискал межобластное доверие Kerberos, но обнаружил, что мне нужно ввести пароль для доверия в обоих AD. Чего я не могу сделать, так как у меня нет прав администратора на внешнем AD.

Ваша помощь очень ценится. Спасибо заранее