在我们的办公室,我们正在运行一些运行Active Directory域的Windows服务器。 我们已经制定了一系列的安全策略,包括180天的密码过期策略。 该公司的每个人都有一台笔记本电脑join到域名,Win7和Macbook Pro(山狮或狮子)的组合。 每个用户的域名login用于login到他们的笔记本电脑以及一些企业资源,包括离开办公室时的Cisco VPN连接。
当到期date到来时,对于大多数用户来说这不是问题。 他们进入办公室,获取到期通知,并在login时或通过Win7或OS X的通常更改密码选项更改密码。
问题来自less数永远偏远的办公室用户。 特别是Mac用户。 我发现有几种方法可以让用户知道到期的密码(脚本+电子邮件,adpassmon等)。 问题是实际的密码更改。 Windows用户可以在VPN中,按Ctrl-Alt-Del,更改密码,一切都更新和罚款。 如果Mac VPN进入并尝试更改密码,他们只会得到“密码未被更改”的消息(“您的系统pipe理员可能不允许您更改密码或者您的密码有其他问题…”) 。
任何人都知道为什么,或者有这个解决scheme? 我知道我可以让用户VPN和远程桌面到另一台机器来更改他们的密码,但是这将对本地机器钥匙串以及sudo权限造成破坏,而这些权限在下次访问办公室时可能会变得更糟。
编辑:我应该澄清,其中一个问题似乎是,即使有一个活动的VPN连接,OS X似乎没有尝试与AD服务器进行通信/authentication(只是继续使用caching的凭据),即使密码更改已经尝试过了。 所以,即使通过外部方法(OWA,远程桌面,我手动重置)来更改密码,OS X机器也不会有更改的密码。 这将需要用户知道2个密码一段时间,以及一些可能与钥匙扣和sudo拧的权限。
如果您有Exchange,您是否考虑实施通过OWA进行更改的function? http://technet.microsoft.com/en-us/library/bb684904%28v=exchg.141%29.aspx
另一种方法是使用ManageEngine的AD自助服务产品: http : //www.manageengine.com/products/self-service-password/download.html
有一件事情在问题的范围之外,就是我一直对AdmitMAC有很好的体验: http : //www.thursby.com/products/admitmac.html,供我们的员工使用。
只是一个更新,我们已经解决了这个问题,这与Mac的具体做法没有任何关系。 我们遇到了一些VPN隧道问题(发现了一些acl不匹配问题),这是阻止站点之间的某些组。 一旦这个问题得到了解决,AD密码通过VPN改变,Mac开始工作。 用户login的VPN与AD服务器位于不同的站点。
感谢您的意见,每个人。