Active Directory 與行動能力
目錄服務可包含大量敏感性資料,應受到安全的保護。查詢服務的操作幾乎一律限制為受信任網路上的受信任裝置。這意味著,如筆記型電腦之類的遠端電腦需要具備有效的 VPN 連線才能取用目錄服務。
本機快取的憑證
行動使用者帳號會快取使用者的資訊,包含其密碼,因此當 Mac 從組織的網路中斷連線時,使用者可登入該部 Mac。在目錄服務中所做的更動將不會在 Mac 上更新,直到其重新連線至組織的網路。
更改行動帳號密碼
若要在已綁定到目錄服務的 Mac 上更改行動使用者帳號密碼,請打開「系統偏好設定」,然後在電腦與目錄服務連線時按一下「使用者與群組」。
若要驗證與目錄服務的連線能力,請在「使用者與群組」偏好設定面板的側邊欄中按一下「登入選項」,然後勾選「網路帳號伺服器」欄位。綠色指示燈表示目錄服務可用。在側邊欄中選擇行動使用者帳號,然後按一下「更改密碼」按鈕。
此處理程序會確保使用者帳號密碼已在下列三個位置更改:
遠端目錄服務
本機快取的憑證儲存區(/private/var/db/dslocal/)
使用者的登入鑰匙圈資料儲存區
登入鑰匙圈是使用者個人專屬檔案夾中的加密資料儲存區,其中包含敏感性資訊,如 App 和 Internet 密碼以及使用者憑證識別身分。依照預設,解密此資料儲存區的密碼與使用者帳號密碼相同,且會在登入時自動解鎖。
如果網路帳號密碼被更改,而 Mac 並未有效連線至目錄服務,該密碼便只會在本機快取的憑證儲存區中更改。當使用者重新連線至目錄服務並登入時,遠端目錄服務便會更新,且 Mac 無法解鎖登入鑰匙圈。使用者必須提供先前的密碼和新密碼才能更新登入鑰匙圈資料儲存區。若使用者無法提供先前的密碼,系統會提供一個選項來製作新的登入鑰匙圈。
透過僅限本機的帳號,可使用設定描述檔來套用密碼規則。這樣可確保符合組織規則的規範,同時簡化登入鑰匙圈與使用者帳號密碼的同步作業。