Active Directory e mobilidade no Mac
Os serviços de diretório podem armazenar grandes quantidades de dados sensíveis e devem ser mantidos em segurança. Quase sempre, a consulta do serviço está limitada a dispositivos de autorizados em redes autorizadas. Isto significa que computadores remotos, como portáteis, precisam de uma ligação VPN para aceder ao serviço de diretório.
Credenciais em cache localmente
As contas móveis de utilizador colocam em cache as informações do utilizador, incluindo a palavra-passe, para que o utilizador possa iniciar sessão no Mac quanto está desligado da rede da organização. As alterações feitas no serviço de diretório não serão atualizadas no Mac até que este volte a ligar-se à rede da organização.
Alterar a palavra-passe de uma conta móvel
Para alterar a palavra-passe de uma conta móvel de utilizador num Mac que esteja ligado ao serviço de diretório, abra as Preferências do Sistema e, em seguida, clique em Utilizadores e Grupos 
enquanto o computador está ligado ao serviço de diretório.
Para verificar a ligação ao serviço de diretório, clique em Opções na barra lateral do painel de preferências Utilizadores e Grupos e, em seguida, clique no campo “Servidor de conta em rede”. Um indicador significa que o serviço de diretório está disponível. Selecione a conta móvel de utilizador na barra lateral e, em seguida, clique no botão “Alterar palavra-passe”.
Este processo garante a alteração da palavra-passe da conta de utilizador em três locais:
o serviço de diretório remoto;
o armazenamento de credenciais em cache localmente (/private/var/db/dslocal/);
o armazenamento de dados do porta-chaves de início de sessão do utilizador.
O porta-chaves de início de sessão é um armazenamento de dados cifrado na pasta pessoal do utilizador que contém informações sensíveis como, por exemplo, palavras-passe da Internet e de aplicações, assim como identidades de certificado de utilizador. Por predefinição, a palavra-passe para decifrar este armazenamento de dados é igual à palavra-passe da conta, e é desprotegida automaticamente no início de sessão.
Se a palavra-passe da conta em rede for alterada enquanto um Mac não está ativamente ligado ao serviço de diretório, só é alterada no armazenamento de credenciais em cache localmente. Quando o utilizador volta a ligar-se ao serviço de diretório e inicia sessão, o serviço de diretório remoto é atualizado e o Mac não consegue desproteger o porta-chaves de início de sessão. O utilizador tem de fornecer a palavra-passe anterior e a nova palavra-passe para atualizar o armazenamento de dados do porta-chaves de início de sessão. Se o utilizador não conseguir fornecer a palavra-passe anterior, há uma opção para criar um novo porta-chaves de início de sessão.
Com contas apenas locais, uma política de palavra-passe pode ser aplicada com um perfil de configuração. Desta forma, garante a conformidade com a política organizacional ao mesmo tempo que simplifica a sincronização do porta-chaves de início de sessão e da palavra-passe da conta de utilizador.