Mac 上的 Active Directory 和移动性

目录服务可以存储大量敏感数据，因此应该保证其安全。在绝大多数情况下，查询该服务仅限于受信网络中的受信设备。这就意味着诸如笔记本电脑等远程电脑需要活跃的 VPN 连接才能访问目录服务。

本地缓存的凭证

移动用户账户缓存用户的信息，其中包括用户的密码，这样用户在 Mac 断开与组织网络连接的情况下，仍可以登录 Mac。在目录服务中进行的更改只有在 Mac 重新接入组织的网络后，才会在 Mac 上更新。

若要更改 Mac 上绑定到目录服务的移动用户账户密码，请在电脑连接到目录服务后，选取苹果菜单 >“系统设置”，然后点按边栏中的“用户与群组” 。

若要验证目录服务的连通性，请检查右侧的“网络账户服务器”。绿色指示符表示目录服务可用。点按移动用户账户旁边的“信息”按钮，然后点按“更改”。

此流程可以确保用户账户密码在以下三个位置得以更改：

登录钥匙串是用户的个人文件夹中加密的数据存储，它包含敏感的信息，例如 App 和互联网密码以及用户证书标识。默认情况下，解密此数据存储的密码与用户账户密码相同，会在登录时自动解锁。

如果在 Mac 未活跃地连接到目录服务的情况下更改网络账户密码，则它只会在本地缓存的凭证存储中更改。当用户重新连接到目录服务并登录，远程目录服务会更新，而 Mac 无法解锁登录钥匙串。用户必须提供旧密码和新密码以更新登录钥匙串数据存储。如果用户无法提供旧密码，可以选择创建新的登录钥匙串。

对于仅限本地的账户，可以通过配置描述文件来应用密码策略。这可以确保符合组织的策略，同时简化登录钥匙串和用户账户密码的同步。

有帮助?