Active Directory 和移动性
目录服务可以存储大量敏感数据,因此应该保证其安全。在绝大多数情况下,查询该服务仅限于受信网络中的受信设备。这就意味着诸如笔记本电脑等远程电脑需要活跃的 VPN 连接才能访问目录服务。
本地缓存的凭证
移动用户帐户缓存用户的信息,其中包括用户的密码,这样用户在 Mac 断开与组织网络连接的情况下,仍可以登录 Mac。在目录服务中进行的更改只有在 Mac 重新接入组织的网络后,才会在 Mac 上更新。
更改移动帐户密码
若要更改绑定到目录服务的 Mac 上的移动用户帐户密码,当电脑连接到目录服务后,请打开“系统偏好设置”,然后点按“用户与群组”。
若要验证目录服务的连通性,请点按“用户与群组”偏好设置面板中边栏内的“登录选项”,然后勾选“网络帐户服务器”栏。绿色指示符表示目录服务可用。在边栏中选择移动用户帐户,然后点按“更改密码”按钮。
此流程可以确保用户帐户密码在以下三个位置得以更改:
远程目录服务
本地缓存凭证存储 (/private/var/db/dslocal/)
用户的登录钥匙串数据存储
登录钥匙串是用户的个人文件夹中加密的数据存储,它包含敏感的信息,例如应用和互联网密码以及用户证书标识。默认情况下,解密此数据存储的密码与用户帐户密码相同,会在登录时自动解锁。
如果在 Mac 未活跃地连接到目录服务的情况下更改网络帐户密码,则它只会在本地缓存的凭证存储中更改。当用户重新连接到目录服务并登录,远程目录服务会更新,而 Mac 无法解锁登录钥匙串。用户必须提供旧密码和新密码以更新登录钥匙串数据存储。如果用户无法提供旧密码,可以选择创建新的登录钥匙串。
对于仅限本地的帐户,可以通过配置描述文件来应用密码策略。这可以确保符合组织的策略,同时简化登录钥匙串和用户帐户密码的同步。