在我们的办公室,我们运行一些运行 Active Directory 域的 Windows 服务器。我们实施了许多安全策略,包括 180 天密码过期策略。公司中的每个人都有一台加入域的笔记本电脑,包括 Win7 和 Macbook Pro(Mountain Lion 或 Lion)。每个用户的域登录名都用于登录他们的笔记本电脑以及一些公司资源,包括离开办公室时的 Cisco VPN 连接。
当密码到期时,对于大多数用户来说这不是问题。他们来到办公室,收到到期通知,并在登录时更改密码,或者通过 Win7 或 OS X 的常规密码更改选项更改密码。
问题出现在少数永久远程办公的办公室用户身上。特别是 Mac 用户。我发现了几种通知用户密码即将过期的方法(脚本+电子邮件、adpassmon 等)。问题在于实际的密码更改。Windows 用户可以通过 VPN 进入,按 Ctrl-Alt-Del,更改密码,一切都会更新并正常。如果 Mac VPN 进入并尝试更改密码,他们只会收到“密码未更改”消息(“您的系统管理员可能不允许您更改密码,或者您的密码存在其他问题……”)。
有人知道原因吗?或者有解决方案吗?我知道我可以让用户通过 VPN 和远程桌面登录到另一台机器来更改密码,但这会破坏本地机器的钥匙串以及 sudo 权限,下次他们访问办公室时情况可能会变得更糟。
编辑:我应该澄清一下,其中一个问题似乎是,即使有活动的 vpn 连接,OS X 似乎也不会尝试与 AD 服务器进行通信/身份验证(只是继续使用缓存的凭据),即使尝试更改密码也是如此。因此,即使通过某种外部方法(OWA、远程桌面、我手动重置)更改了密码,OS X 计算机也不会有更改后的密码。这将需要用户在一段时间内知道 2 个密码,以及使用 keychain 和 sudo 的一些可能不准确的权限。
答案1
如果您有 Exchange,您是否考虑过实现通过 OWA 更改它的功能?http://technet.microsoft.com/en-us/library/bb684904%28v=exchg.141%29.aspx
另一种选择是使用 ManageEngine 的 AD 自助服务产品:http://www.manageengine.com/products/self-service-password/download.html
有一件事“有点”超出了问题的范围,那就是我对 AdmitMAC 的体验一直很好:http://www.thursby.com/products/admitmac.html适合我们的员工使用的 Mac。
答案2
只是更新一下,我们已经解决了这个问题,而且它与 Mac 没有任何关系。我们遇到了一些 VPN 隧道问题(发现了一些 ACL 不匹配问题),这阻止了站点之间的某些组。一旦解决了这个问题,Mac 的 VPN 上的 AD 密码更改就开始起作用了。用户登录的 VPN 与 AD 服务器位于不同的站点。
谢谢大家的意见。