Em nosso escritório, estamos executando alguns servidores Windows executando um domínio do Active Directory.
Temos várias políticas de segurança que aplicamos, incluindo uma política de expiração de senha de 180 dias. Todos na empresa têm um laptop que se une ao domínio, um misto de Win7 e MacBook Pro (Mountain Lion ou Lion). Todos os usuários de login no domínio são usados para efetuar login em seus laptops, bem como alguns recursos corporativos, incluindo a conexão VPN da Cisco, quando estão fora do escritório.
Quando a data de expiração aparece, não é um problema para a maioria dos usuários. Eles entram no escritório, recebem o aviso de expiração e alteram sua senha no login ou através das opções usuais de alteração de senha para Win7 ou OS X.
O problema vem para um punhado de usuários de escritório permanentemente remotos. Especificamente os usuários de Mac. Eu encontrei várias maneiras de os usuários serem notificados sobre uma senha expirada (scripts + email, adpassmon, etc). O problema é a mudança real da senha. Os usuários do Windows podem entrar VPN, pressionar Ctrl-Alt-Del, alterar sua senha e tudo é atualizado e bem. Se uma VPN do Mac entrar e tentar alterar sua senha, ela receberá a mensagem "a senha não foi alterada" ("o administrador do sistema pode não permitir que você altere sua senha ou houve algum outro problema com sua senha ...") .
Alguém sabe por que, ou tem uma solução para isso?
Eu sei que eu poderia ter usuários VPN em e Remote Desktop para outra máquina para alterar suas senhas, mas isso vai atrapalhar o keychain de máquinas locais, bem como privilégios de sudo, que podem apenas piorar na próxima vez que visitarem o escritório. / p>
edit: Eu deveria esclarecer que um dos problemas parece ser que mesmo com uma conexão vpn ativa, o OS X parece não tentar se comunicar / autenticar contra os servidores AD (apenas continua usando credenciais em cache), mesmo quando uma alteração de senha foi tentada. Portanto, mesmo que uma senha seja alterada por meio de algum método externo (OWA, área de trabalho remota, uma redefinição manual feita por mim), a máquina do OS X não terá a senha alterada. Isso exigirá que o usuário saiba duas senhas por um período de tempo, bem como algumas permissões possíveis com o keychain e o sudo.