Нужны некоторые предложения Active Directory

Во-первых, я новичок в нашей эры; Я знаю, как настроить базовый домен, но это все.

Я использую хостинг для некоторых приложений Windows. Разрешения пользователя основаны на группах безопасности Active Directory.

Допустим, у меня есть Contoso.local как мой лес - имя NetBIOS CONTOSO, Я хочу предоставить SaaS, где клиенты могут синхронизировать своих пользователей и / или группы Active Directory с моей AD, сохраняя при этом свое собственное имя NetBIOS. Например, если бы у меня был клиент, которого где-то в мире называли Acme, а его лесной домен был Acme.local и их имя NetBIOS было ACMEтогда я бы хотел, чтобы у Джона Доу была возможность войти в мой SaaS как ACME\John.Doe вместо того, чтобы мне приходилось управлять всеми пользователями для моих клиентов и требовать, чтобы Джон вошел как CONTOSO\John.Doe, Идея здесь - белая маркировка.

Сразу же вы, вероятно, думаете о AD FS, но мой SaaS не поддерживает федеративные службы.

Я мог бы настроить другой контроллер домена в моей сети для репликации против моего клиента, но это кажется излишним. И я не знаю, как это сделать.

Нет ли способа, чтобы моя AD просто синхронизировалась и / или проходила аутентификацию против пользователей и групп другого домена? (Мне тоже нужны группы, потому что в зависимости от роли безопасности у пользователя есть доступ к определенной информации.) Могу ли я настроить Trust или LDS для этого?

Если да, или если нет, пожалуйста, предоставьте предложения. Некоторые практические рекомендации также будут высоко оценены!

Спасибо джошуа