Em nosso escritório, estamos executando alguns servidores Windows executando um domínio do Active Directory. Temos várias políticas de segurança que aplicamos, incluindo uma política de expiração de senha de 180 dias. Todos na empresa têm um laptop que se une ao domínio, um misto de Win7 e MacBook Pro (Mountain Lion ou Lion). Todos os usuários de login no domínio são usados para efetuar login em seus laptops, bem como alguns recursos corporativos, incluindo a conexão VPN da Cisco, quando estão fora do escritório.
Quando a data de expiração aparece, não é um problema para a maioria dos usuários. Eles entram no escritório, recebem o aviso de expiração e alteram sua senha no login ou através das opções usuais de alteração de senha para Win7 ou OS X.
O problema vem para um punhado de usuários de escritório permanentemente remotos. Especificamente os usuários de Mac. Eu encontrei várias maneiras de os usuários serem notificados sobre uma senha expirada (scripts + email, adpassmon, etc). O problema é a mudança real da senha. Os usuários do Windows podem entrar VPN, pressionar Ctrl-Alt-Del, alterar sua senha e tudo é atualizado e bem. Se uma VPN do Mac entrar e tentar alterar sua senha, ela receberá a mensagem "a senha não foi alterada" ("o administrador do sistema pode não permitir que você altere sua senha ou houve algum outro problema com sua senha ...") .
Alguém sabe por que, ou tem uma solução para isso? Eu sei que eu poderia ter usuários VPN em e Remote Desktop para outra máquina para alterar suas senhas, mas isso vai atrapalhar o keychain de máquinas locais, bem como privilégios de sudo, que podem apenas piorar na próxima vez que visitarem o escritório. / p>
edit: Eu deveria esclarecer que um dos problemas parece ser que mesmo com uma conexão vpn ativa, o OS X parece não tentar se comunicar / autenticar contra os servidores AD (apenas continua usando credenciais em cache), mesmo quando uma alteração de senha foi tentada. Portanto, mesmo que uma senha seja alterada por meio de algum método externo (OWA, área de trabalho remota, uma redefinição manual feita por mim), a máquina do OS X não terá a senha alterada. Isso exigirá que o usuário saiba duas senhas por um período de tempo, bem como algumas permissões possíveis com o keychain e o sudo.
Se você tem o Exchange, você já pensou em implementar a capacidade de alterá-lo via OWA? link
Outra alternativa é usar o produto de autoatendimento AD do ManageEngine: link
Uma coisa "meio que" fora do escopo da questão é que sempre tive ótimas experiências com o AdmitMAC: link para o Mac que nossos funcionários usam.
Apenas uma atualização, temos o problema resolvido e não tem nada a ver com o Mac especificamente. Estávamos tendo alguns problemas de túnel de VPN (alguns problemas de incompatibilidade de ACL foram descobertos), que estava bloqueando certos grupos entre sites. Uma vez resolvido esse problema, as alterações de senha do AD sobre a VPN para o Mac começaram a funcionar. A VPN na qual os usuários fazem login está em um site diferente dos servidores do AD.
Obrigado pela sua contribuição, todos.