私たちのオフィスでは、Active Directoryドメインを実行しているいくつかのWindowsサーバーを実行しています。 180日間のパスワード有効期限ポリシーを含む、いくつかのセキュリティポリシーを適用しています。社内の全員が、Win7とMacbook Pro(Mountain LionまたはLion)を組み合わせたドメインに参加しているラップトップを持っています。すべてのユーザーのドメインログインを使用して、ラップトップにログインするだけでなく、オフィスから離れているときのCisco VPN接続などのいくつかの企業リソースにログインします。
有効期限が切れるとき、それはほとんどのユーザーにとって問題ではありません。彼らはオフィスに来て、有効期限の通知を受け取り、ログイン時に、またはWin7またはOS Xの通常のパスワード変更オプションを介してパスワードを変更します。
問題は、恒久的に遠隔地にいる少数のオフィスユーザーに起こります。特にMacユーザー。ユーザーに有効期限切れのパスワードを通知する方法をいくつか見つけました(scripts + email、adpassmonなど)。問題は、実際のパスワード変更です。 WindowsユーザーはVPNでアクセスでき、Ctrl-Alt-Delを押し、パスワードを変更すると、すべてが更新されて正常に動作します。 Mac VPNが起動してパスワードを変更しようとすると、「パスワードは変更されませんでした」というメッセージが表示されます(「システム管理者がパスワードの変更を許可していないか、パスワードに他の問題があった...」) 。
誰もが理由を知っていますか、またはこれに対する解決策がありますか?ユーザーに別のマシンへのVPNとリモートデスクトップを使用してパスワードを変更させることができることは知っていますが、これはローカルマシンのキーチェーンとSudo権限に大混乱をもたらし、次回オフィスを訪れるときに悪化する可能性があります。
編集:問題の1つは、アクティブなVPN接続があっても、パスワードが変更されても、OS XがADサーバーに対して通信/認証を試みない(キャッシュされた資格情報を使用し続ける)ようであることを明確にする必要があります試みました。そのため、外部の方法(OWA、リモートデスクトップ、手動によるリセット)によってパスワードが変更された場合でも、OS Xマシンには変更されたパスワードがありません。これは、ユーザーが長い間2つのパスワードを知っている必要があるだけでなく、キーチェーンとSudoを使用したいくつかのねじれた許可を必要とします。
Exchangeを使用している場合、OWA経由で変更する機能の実装を検討しましたか? http://technet.Microsoft.com/en-us/library/bb684904%28v=exchg.141%29.aspx
別の方法は、ManageEngineのADセルフサービス製品を使用することです。 http://www.manageengine.com/products/self-service-password/download.html
質問の範囲外の「一種の」ことの1つは、私がAdmitMACで常に素晴らしい経験をしたことです http://www.thursby.com/products/admitmac.html Macの従業員向け使用する。
アップデートだけで問題は解決しましたが、特にMacとは関係ありませんでした。 VPNトンネルの問題がいくつかあり(ACLの不一致の問題がいくつか検出されました)、サイト間の特定のグループをブロックしていました。この問題が解決されると、VPNを介したMacのADパスワード変更が機能し始めました。ユーザーのログイン先のVPNは、ADサーバーとは別のサイトにあります。
皆さん、ありがとうございます。