В нашем офисе мы запускаем несколько серверов Windows с доменом Active Directory. У нас есть ряд политик безопасности, которые мы применяем, включая 180-дневную политику истечения срока действия пароля. У каждого в компании есть ноутбук, подключенный к домену, смесь Win7 и Macbook Pro (Mountain Lion или Lion). Каждый пользовательский вход в домен используется для входа в систему на своих ноутбуках, а также на некоторых корпоративных ресурсах, включая соединение Cisco VPN, когда вы находитесь вне офиса.
Когда подходит срок годности, для большинства пользователей это не проблема. Они приходят в офис, получают уведомление об истечении срока действия и меняют свой пароль при входе в систему или с помощью обычных параметров смены пароля для Win7 или OS X.
Проблема возникает у горстки офисных пользователей, которые постоянно находятся в удалении. В частности, пользователи Mac. Я нашел несколько способов уведомления пользователей об истечении срока действия пароля (скрипты + электронная почта, adpassmon и т. Д.). Проблема в фактической смене пароля. Пользователи Windows могут подключиться к VPN, нажать Ctrl-Alt-Del, изменить свой пароль, и все будет обновлено и нормально. Если Mac VPN входит и пытается изменить свой пароль, они просто получают сообщение «пароль не был изменен» («ваш системный администратор может не разрешить вам изменить пароль или возникла другая проблема с вашим паролем ...») .
Кто-нибудь знает, почему, или есть решение для этого? Я знаю, что у меня могут быть пользователи VPN и удаленный рабочий стол на другой машине для изменения их паролей, но это нанесет ущерб связке ключей локальных машин, а также привилегиям sudo, которые могут только ухудшиться, когда они в следующий раз посетят офис.
изменить: я должен уточнить, что одна из проблем, похоже, заключается в том, что даже при активном vpn-соединении OS X, похоже, не пытается общаться / аутентифицироваться с серверами AD (просто продолжает использовать кешированные учетные данные), даже при изменении пароля была предпринята попытка. Таким образом, даже если пароль будет изменен каким-либо внешним методом (OWA, удаленный рабочий стол, мой ручной сброс), на машине OS X не будет измененного пароля. Это потребует от пользователя знания двух паролей в течение длительного времени, а также некоторых возможных проблемных разрешений с помощью связки ключей и sudo.
Если у вас есть Exchange, рассматривали ли вы возможность его изменения через OWA? http://technet.microsoft.com/en-us/library/bb684904%28v=exchg.141%29.aspx
Другой альтернативой является использование продукта самообслуживания AD от ManageEngine: http://www.manageengine.com/products/self-service-password/download.html
Одна вещь, которая "как бы" выходит за рамки вопроса, заключается в том, что у меня всегда был отличный опыт работы с AdmitMAC: http://www.thursby.com/products/admitmac.html для компьютеров Mac, которыми пользуются наши сотрудники.
Просто обновление, мы решили проблему, и это не было связано конкретно с Mac. У нас были некоторые проблемы с VPN-туннелем (были обнаружены некоторые проблемы с несоответствием acl), которые блокировали определенные группы между сайтами. Как только эта проблема была решена, изменение пароля AD через VPN для Mac начало работать. VPN, в которую входят пользователи, находится на другом сайте, нежели серверы AD.
Спасибо за ваш вклад, всем.