В нашем офисе есть несколько компьютеров Mac, которые привязаны к нашему домену Active Directory (Server 2k8R2) для аутентификации при входе и доступа к общим файловым ресурсам. По большей части это работало без проблем.
Недавно я изменил свой пароль AD (из окна Windows, которое является моим основным настольным компьютером), и моему iMac по-прежнему нужен мой старый пароль для входа в систему - даже после перезагрузки. Он правильно запрашивает новый пароль, когда я пытаюсь подключиться к общим файлам smb Windows.
В последний раз, когда я менял свой пароль, iMac работал под управлением Snow Leopard и уловил изменение пароля, как и ожидалось.
Я немного сторонник OS X n00b, поэтому прошу прощения, если это должно быть очевидно. Мой поиск выявил множество проблем, с которыми люди сталкивались с Lion и Active Directory, но не с этой конкретной проблемой.
Возможно, это связано с тем, что у нас есть мобильные учетные записи, включенные для AD в параметрах утилиты каталогов. Я предполагаю, что это приводит к локальному кэшированию учетных данных, но мне не ясно, как их обновить.
РЕДАКТИРОВАТЬ: Я пробовал отключить мобильные аккаунты для AD, но без изменений. Я все еще проверяю свой старый пароль.
Как долго Mac был привязан к вашей среде AD? Если это было какое-то время, я имею в виду время, которое требуется вашим компьютерным объектам AD, чтобы согласовать изменение пароля для компьютерного объекта. Я думаю, что в OS X по умолчанию 14 дней.
Установите, как часто следует менять пароль доверительной учетной записи компьютера
$ dsconfigad -passinterval 0
Я помню, что это доставляло нам некоторые проблемы.
Я попытался установить интервал равным нулю и установить предпочтительный контроллер домена, но ни один из них не оказал никакого влияния. Я также (каждый раз) удалил цепочку ключей «вход в систему» и все ссылки на ActiveDirectory в цепочке ключей «Система». И много перезагрузок. Нада.
Отмена привязки и повторная привязка были единственным способом получить пароль для входа в систему, и потребовалось, чтобы я отправил свои учетные данные для повторной привязки - в середине сеанса в качестве этого пользователя (я делал это на своем собственном компьютере, потому что я могли безнаказанно опробовать разные методы).
Я хотел бы иметь менее навязчивое решение (особенно такое, которым я мог бы управлять через терминал по ssh), но это то, что у меня есть на данный момент.
Как я уже упоминал в комментарии к очень полезному ответу Райана, проблема была наконец решена путем установки предпочтительного контроллера домена. Это можно сделать через пользовательский интерфейс утилиты каталогов (в дополнительных настройках) или через командную строку:
dsconfigad -preferred dc.mydomain.com
Возможно проблема Lion, возможно, проблема домена. В любом случае я оставляю этот ответ в надежде, что он поможет кому-то другому.
Другое решение, которое сработало для меня, - это отвязать компьютер от домена, а затем повторно привязать его. Вы можете получить устаревшую компьютерную запись в AD Users и Computer DB, но это, похоже, решает проблему отключения.