有任何解法都請先提供給樓主參考; 我要講的不是解法...

這可能是一種安全違規事件...
正確不違反安全的作法應該是:

User 身分 (Identity) 存放在 A 內, 當他要存取其他地方(例如: B)的資源時, 應該要從 A 的身分管理中心, 授權他用 A 的身分, 去存取 B 的資源 (Resource).

所以, B 不需要存放他的身分(Identity), 但需要與 A 建立聯盟授權的機制. 這個機制在 AD 環境中, 可以用 A/B 雙方的 Domain Trust 來完成.

這樣一來, 他只需登入 A 的身分, 就可以同時存取 A/B 資源.

========= 我是分隔線

當然, 一定會有人問:
難道我不能同時在 A 和 B 都有身分嗎?

那我們要問:
誰知道在 A 裡面的 John 跟 B 裡面的 Tim 是同一人?
或者, John 其實是跟 B 裡面的 Tony 才是同一個人?
那 C 裡面的 Alan 呢? 還有 D 裡面的 Arthur 呢?...
(後面接手的人, 知道到底誰跟誰是同一個人嗎?)

從企業管理角度來看, 身分(Identity) 必須由一個中央單位統一控管, 所以不應該存在: 每個資源內, 各自有各自身分管理機制的情境出現. 所有被授權的資源, 都應該參考同一個身分管制中心, 而不是各自建立獨立的身分管制, 這樣會造成管理上的風險.(特別是:人為和流程的風險)

會出現不同身分狀況, 只有發生在: 你的身分屬於企業外部. 此時由於無法用企業內的驗證中心來驗證, 所以必須改用外部的 (例如: 從企業內存取 GMail 信箱), 但這也同樣可能造成違規事項...

正確的做法是: 讓企業, 跟外部的服務(例如: Gmail), 都使用同一個身分驗證中心. 萬一, 那個外部服務不屬於你企業所管轄的話, 那麼應該向你的企業索取身分驗證後 (例如: 透過 OAuth/OpenID... 等 SSO 機制), 再授予資源存取權限.

======= 又是分隔線

會有人說: 這樣很麻煩, 這樣很花錢, 這樣很複雜...

你們說的都沒錯, 當然組織規模小的時候, 你可以不去管(也沒有能力管)這些; 但是如果組織內存放有高機敏性資料的時候, 管制和授權的方法論, 會決定這些資料曝險的程度.

資安沒有簡單/方便/便宜的方法, 要保護周全, 你就得花成本.

此文不是要樓主改變甚麼, 只是剛好遇到案例, 順便講一下...

應該要做的是讓A網域信任B網域就可以了

實在看不懂，除非是利用Ldap去作帳戶驗證，

不然預設Windows本身在加入網域的功能上，預設本地端只能加入一個才對

你就算在地端架了兩個網域出來，A網域跟B網域

也不代表你的Windows 10裝置，就可以同時加入兩個網域，

你要不要把架構丟上來給大家看看?