Синхронизация паролей между двумя лесами или в одном лесу; с использованием репликации или использования MIM для синхронизации?

Итак, у нас есть домен (например, contoso.local), который реплицируется на 4 DC. Все контроллеры домена находятся в одной подсети. Все пользователи находятся в одном подразделении в одном домене. Все рабочие станции также находятся в собственном OU. Теперь у нас есть небольшой (5 человек) офис, который не подключен к WAN. В этом офисе есть FRITZ! Box для подключения к Интернету, и все пользователи работают локально на своих компьютерах.

Планируется разместить в этом офисе физический сервер в качестве проекта. Этот сервер должен быть новым DC с собственным доменом (что-то вроде smalloffice.contoso.local). Новый DC будет подключен к нашей сети через VPN. Пользователи этого офиса будут созданы с помощью программного обеспечения для управления идентификацией в качестве объекта в нашем большом локальном домене contoso.local. Поэтому я хотел бы один раз перенести их в новый домен. Я читал, что для этого можно использовать ADMT или MIM. Следующая проблема будет заключаться в том, что каждый раз, когда один из пяти пользователей меняет свой пароль, будет изменен только объект userobject в contoso.local.

Как мне синхронизировать этот объект с новым DC / доменом smalloffice.contoso.local (например, перезапись старого пароля в новом домене с использованием нового пароля из старого основного домена)? Достаточно ли будет поместить новый домен как отдельный домен в наш существующий лес и просто позволить им реплицироваться с помощью встроенной функции ADDS? Или вам следует использовать MIM для переноса пользователей, а затем разрешать им синхронизацию при каждом изменении пароля?