Active Directory und Mobilität auf dem Mac
Verzeichnisdienste können große Mengen sensibler Daten umfassen und sollten daher besonders sicher verwaltet und gesichert werden. In den meisten Fällen ist die Anforderung des Diensts auf vertrauenswürdige Geräte in vertrauenswürdigen Netzwerken beschränkt. Die bedeutet, dass entfernte Computer wie Laptops für den Zugriff auf den Verzeichnisdienst eine aktive VPN-Verbindung benötigen.
Lokal gespeicherte Anmeldedaten
Mobile Benutzeraccounts speichern die Informationen des Benutzers, einschließlich des Passworts, sodass sich der Benutzer beim Mac anmelden kann, wenn die Verbindung zum Netzwerk der Organisation getrennt wurde. Am Verzeichnisdienst vorgenommene Änderungen werden erst dann auf dem Mac aktualisiert, wenn er erneut die Verbindung zum Netzwerk der Organisation herstellt.
Ändern des Passworts eines mobilen Accounts
Zum Ändern des Passwort eines mobilen Benutzeraccounts auf einem mit dem Verzeichnisdienst verbundenen Mac-Computer, öffne Menü „Apple“ 
in der Seitenleiste.
Sieh dir den „Netzwerkaccount-Server“ auf der rechten Seite an, um die Verbindung zum Verzeichnisdienst zu überprüfen. Eine grüne Markierung zeigt an, dass der Dienst verfügbar ist. Klicke auf die Taste „Info“ 
neben dem mobilen Benutzeraccount und klicke dann auf „Ändern“.
Durch diese Vorgehensweise ist sichergestellt, dass das Passwort des Benutzeraccounts an drei Stellen geändert wird:
Im entfernten Verzeichnisdienst
Am Speicherort der lokal gespeicherten Anmeldedaten (/private/var/db/dslocal/)
Am Speicherort des Anmeldeschlüsselbunds des Benutzers
Der Anmeldeschlüsselbund ist ein verschlüsselter Datenspeicher im Benutzerordner, der sensible Daten wie App- und Internetpasswörter sowie Benutzerzertifikatsidentitäten enthält. Standardmäßig ist das zum Verschlüsseln dieses Datenspeichers verwendete Passwort mit dem Passwort für den Benutzeraccount identisch, und der Schutz wird automatisch bei der Anmeldung aufgehoben.
Wird das Netzwerkaccountpasswort geändert, während ein Mac nicht aktiv mit dem Verzeichnisdienst verbunden ist, wird es nur am Speicherort der lokal gespeicherten Anmeldedaten geändert. Stellt der Benutzer die Verbindung zum Verzeichnisdienst wieder her und meldet sich an, wird der entfernte Verzeichnisdienst aktualisiert, und der Mac ist nicht in der Lage, den Schutz des Anmeldeschlüsselbunds aufzuheben. Der Benutzer muss das zuvor verwendete Passwort und das neue Passwort eingeben, um die Daten am Speicherort des Anmeldeschlüsselbunds zu aktualisieren. Kann der Benutzer das zuvor verwendete Passwort nicht bereitstellen, gibt es eine Option zum Erstellen eines neuen Anmeldeschlüsselbunds.
Bei ausschließlich lokalen Accounts kann mithilfe eines Konfigurationsprofils eine Passwortrichtlinie angewendet werden. Hierdurch ist die Kompatibilität mit den Richtlinien der Organisation gewährleistet und gleichzeitig wird die Synchronisierung von Anmeldeschlüsselbund und Benutzeraccountpasswort vereinfacht.