Active Directory и мобильность на Mac
Службы каталогов могут хранить огромное количество конфиденциальных данных и должны быть надежно защищены. Обычно запросы к службе могут отправлять только надежные устройства в надежных сетях. Это означает, что для доступа к службе каталогов удаленным компьютерам, например ноутбукам, требуется активное подключение VPN.
Локальное кэширование учетных данных
Мобильные учетные записи пользователей кэшируют информацию о пользователе, включая пароль, так что пользователь может войти в систему на Mac после отключения от сети организации. Изменения, внесенные в службу каталогов, переносятся на Mac только после повторного подключения к сети организации.
Изменение пароля мобильной учетной записи
Чтобы изменить пароль мобильной учетной записи пользователя на компьютере Mac, связанном со службой каталогов, выберите меню Apple 
в боковом меню, пока компьютер подключен к службе каталогов.
Чтобы проверить возможность подключения к службе каталогов, справа просмотрите поле «Сервер сетевых учетных записей». Зеленый индикатор означает, что служба каталогов доступна. Нажмите кнопку информации 
рядом с мобильной учетной записью, затем нажмите «Сменить пароль».
Эта процедура гарантирует изменение пароля учетной записи пользователя в следующих трех местах:
Удаленная служба каталогов.
Локальный кэш учетных данных (/private/var/db/dslocal/).
Связка ключей входа пользователя.
Связка ключей входа — это зашифрованное хранилище данных в папке пользователя, которое содержит конфиденциальную информацию, например пароли приложений и интернета, а также учетные данные сертификатов пользователей. По умолчанию пароль этого хранилища данных совпадает с паролем учетной записи пользователя, и хранилище автоматически разблокируется при входе пользователя в систему.
Если изменить пароль сетевой учетной записи, когда Mac не подключен к службе каталогов, пароль изменяется только в локальном кэше учетных данных. Когда пользователь снова подключается к службе каталогов и входит в систему, удаленная служба каталогов получает обновленные данные, и Mac снова может разблокировать связку ключей входа. Для обновления хранилища связки ключей входа пользователю необходимо ввести предыдущий пароль и новый пароль. Если пользователь не может ввести предыдущий пароль, он может создать новую связку ключей входа.
К полностью локальным учетным записям можно применить политику паролей с помощью профиля конфигурации. Это обеспечивает соблюдение политики организации и упрощает синхронизацию пароля связки ключей входа с паролем учетной записи пользователя.