É possível autenticar usuários do MS AD em outro MS AD sem uma confiança?

Eu tenho dois diretórios ativos da Microsoft, vamos chamá-los de externos e internos,

O que eu quero fazer é:

• Adicione usuários ao AD interno sem senha (basta salvar alguns outros atributos para eles).
• Quando um usuário tenta efetuar login, a senha será verificada no AD externo.
• Isso é apenas para usuários do domínio, não para os administradores.
• Os dois diretórios ativos estão nos servidores Windows.
• Eu não sei qual é a versão específica do servidor externo. Mas eu sei que é um servidor windows.
• Eu sou capaz de autenticar usuários usando o openldap no linux. "Fornecendo um nome de usuário e senha". O que significa que é possível autenticar os usuários.

Por favor, note que eu não estou tentando roubar as senhas ou qualquer coisa. Eu só quero o meu AD interno para enviar o nome de usuário e senha para o AD externo e o externo irá responder se eles correspondem ou não.

Existem vários serviços na minha empresa que usam a senha externa para os funcionários (como o email do Exchange). Eu quero mantê-los usando o mesmo nome de usuário e senha em todos os lugares.

Aqui estão as permissões que tenho:

• Não tenho permissões de "Administrador" no AD externo. Apenas uma permissão de usuário regular.
• Eu tenho permissão total no anúncio interno.
• Tenho controle total sobre os computadores e usuários que tentarão fazer login no AD interno.

algumas pessoas sugeriram que eu use o Kerberos cross-realm juntamente com a orientação para o lugar certo para escrever esta pergunta. Eu olhei para o Kerberos cross-real trust, mas descobri que eu preciso ter uma senha para a confiança inserida em ambos os anúncios. O que não posso fazer, pois não tenho permissões de administrador no AD externo.

Você ajuda é muito apreciado. Agradecemos antecipadamente