Active Directory e mobilità sul Mac
I servizi directory possono contenere grandi quantità di dati sensibili e devono essere tenuti al sicuro. Quasi sempre, l’interrogazione del servizio è limitato ai dispositivi attendibili sulle reti attendibili. Ciò significa che i computer remoti come laptop richiedono una connessione VPN attiva per accedere al servizio di directory.
Credenziali memorizzate in locale
Gli account utente mobili memorizzano le informazioni dell’utente, incluse le loro password, in modo che l’utente possa accedere al Mac quando non è connesso alla rete dell’organizzazione. Le modifiche apportate nel servizio di directory non verranno aggiornate sul Mac fino a quando non si riconnette alla rete dell’organizzazione.
Cambiare la password di un account mobile
Per cambiare la password di un account utente mobile su un Mac che è vincolato al servizio di directory, scegli menu Apple 
nella barra laterale quando il computer è connesso al servizio di directory.
Per verificare la connettività al servizio di directory, controlla “Server account rete” sulla destra. Un indicatore verde indica che il servizio di directory è disponibile. Fai clic sul pulsante Info 
accanto all’account utente mobile, quindi fai clic su Modifica.
Questo processo assicura che la password dell’account utente venga modificata in tre posizioni:
Nel servizio di directory remoto
Nell’archivio delle credenziali nella cache locale (/private/var/db/dslocal/)
Nell’archivio dei dati di accesso al portachiavi dell’utente
Il portachiavi di login è un archivio di dati codificati nella cartella Inizio dell’utente che contiene informazioni sensibili, come app e password di Internet, così come le identità dei certificati utente. Di default, la password per decodificare questo archivio di dati è identica alla password dell’account utente, e viene automaticamente sbloccata al momento del login.
Se la password dell’account di rete viene modificata mentre un Mac non è attivamente connesso al servizio di directory, questa viene cambiata solo nell’archivio delle credenziali nella cache locale. Quando l’utente si riconnette al servizio di directory ed esegue il login, il servizio di directory remoto viene aggiornato e il Mac è in grado di sbloccare il portachiavi di login. L’utente deve fornire la password precedente e la nuova password per aggiornare l’archivio dei del portachiavi di login. Se l’utente non può fornire la password precedente, è possibile creare un nuovo portachiavi di login.
Con gli account locali, una politica di password può essere applicata con un profilo di configurazione. Questo garantisce la conformità alla politica dell’organizzazione, semplificando la sincronizzazione del portachiavi di login e la password dell’account utente.