Active Directory とモバイル環境
ディレクトリサービスには大量の機密データが保持されていることがあるので、セキュリティ保護してください。ほとんど常に、サービスへの照会は信頼できるネットワーク上の信頼できるデバイスに限定されます。つまり、ラップトップなどのリモートコンピュータがディレクトリサービスにアクセスするには、アクティブな VPN 接続が必要です。
ローカルにキャッシュされた資格情報
モバイル・ユーザ・アカウントにはパスワードを含むユーザの情報がキャッシュされるので、ユーザは組織のネットワークとの接続が解除されている Mac にログインできます。ディレクトリサービスで行われた変更は、Mac が組織のネットワークに接続するまで Mac 上でアップデートされません。
モバイル・アカウント・パスワードを変更する
ディレクトリサービスにバインドされている Mac でモバイル・ユーザ・アカウント・パスワードを変更するには、コンピュータがディレクトリサービスに接続されている間に「システム環境設定」を開いてから、「ユーザとグループ」をクリックします。
ディレクトリサービスへの接続を確認するには、「ユーザとグループ」環境設定パネルのサイドバーで「ログインオプション」をクリックしてから、「ネットワークアカウントサーバ」フィールドをクリックします。緑色のインジケータは、ディレクトリサービスが利用できることを示します。サイドバーでモバイル・ユーザ・アカウントを選択してから、「パスワードを変更」ボタンをクリックします。
このプロセスにより、ユーザ・アカウント・パスワードが 3 つの場所で変更されます:
リモート・ディレクトリ・サービス
ローカルにキャッシュされた資格情報ストア(「/private/var/db/dslocal/」)
ユーザのログインキーチェーンのデータストア
ログインキーチェーンはユーザのホームフォルダにある暗号化されたデータストアで、アプリケーションやインターネットのパスワード、ユーザ証明書 ID などの機密情報が含まれています。デフォルトでは、このデータストアを暗号化するパスワードはユーザ・アカウント・パスワードと同じで、ログイン時に自動的にロック解除されます。
Mac が実際にディレクトリサービスに接続されていない間にネットワーク・アカウント・パスワードが変更された場合、そのパスワードはローカルにキャッシュされた資格情報ストアでのみ変更されます。ユーザがディレクトリサービスに接続してログインすると、リモート・ディレクトリ・サービスがアップデートされ、Mac はログインキーチェーンをロック解除できません。ユーザがログインキーチェーンのデータストアをアップデートするには、前のパスワードと新しいパスワードを入力する必要があります。ユーザが前のパスワードを入力できない場合は、新しいログインキーチェーンを作成することもできます。
ローカル専用のアカウントでは、構成プロファイルを使用してパスワードポリシーを適用できます。これにより、組織のポリシーへの準拠が確実に行われ、ログインキーチェーンとユーザ・アカウント・パスワードの同期が簡略化されます。