Как пользователи Mac могут изменить свои пароли Windows Active Directory через VPN-соединение?

Question

Как пользователи Mac могут изменить свои пароли Windows Active Directory через VPN-соединение?

В нашем офисе у нас работает несколько серверов Windows, на которых работает домен Active Directory. У нас есть ряд политик безопасности, которые мы применяем, включая политику истечения срока действия пароля на 180 дней. У всех в компании есть ноутбук, подключенный к домену, смесь Win7 и Macbook Pro (Mountain Lion или Lion). Вход в домен каждого пользователя используется для входа на их ноутбуки, а также для нескольких корпоративных ресурсов, включая соединение Cisco VPN, когда вы находитесь вне офиса.

Когда истекает срок годности, это не проблема для большинства пользователей. Они приходят в офис, получают уведомление об истечении срока действия и меняют свой пароль при входе в систему или с помощью обычных опций смены пароля для Win7 или OS X.

Проблема возникает для нескольких офисных пользователей, которые постоянно удалены. В частности, пользователи Mac. Я нашел несколько способов уведомления пользователей об истекающем пароле (сценарии + электронная почта, adpassmon и т. Д.). Проблема заключается в реальной смене пароля. Пользователи Windows могут подключиться к VPN, нажать Ctrl-Alt-Del, изменить свой пароль, и все обновляется и все в порядке. Если Mac VPN подключен и пытается изменить свой пароль, он просто получает сообщение "пароль не был изменен" ("ваш системный администратор может не разрешить вам сменить пароль или возникла другая проблема с вашим паролем..."),

Кто-нибудь знает почему, или есть решение для этого? Я знаю, что у меня могут быть пользователи VPN и удаленного рабочего стола на другой машине, чтобы изменить их пароли, но это будет разрушать цепочку ключей локальных машин, а также привилегии sudo, которые могут ухудшиться при следующем посещении офиса.

редактирование: я должен уточнить, что одна из проблем, кажется, заключается в том, что даже при активном соединении vpn OS X, кажется, не пытается и не аутентифицируется на серверах AD (просто продолжает использовать кэшированные учетные данные), даже при смене пароля была предпринята попытка Таким образом, даже если пароль был изменен с помощью какого-либо внешнего метода (OWA, удаленный рабочий стол, ручной сброс мной), на машине с OS X измененный пароль не будет. Это потребует от пользователя знания 2 паролей в течение определенного периода времени, а также некоторых возможных завинчиваемых разрешений с цепочкой для ключей и sudo.

5

active-directory windows-server-2008-r2 mac-osx cisco-vpn

Источник

user154781 16 янв '13 в 22:04

2 ответа

Другие вопросы по тегам active-directory windows-server-2008-r2 mac-osx cisco-vpn

TheCleaner 16 янв '13 в 22:21 2013-01-16 22:21 · Answer 1 · 2013-01-16 22:21

Если у вас есть Exchange, вы рассматривали возможность реализации его изменения через OWA? http://technet.microsoft.com/en-us/library/bb684904%28v=exchg.141%29.aspx

Другой альтернативой является использование продукта самообслуживания ManageEngine AD: http://www.manageengine.com/products/self-service-password/download.html

Единственное, что "выходит" за рамки вопроса, это то, что у меня всегда был большой опыт работы с AdmitMAC: http://www.thursby.com/products/admitmac.html для использования Mac нашими сотрудниками.

user154781 18 янв '13 в 21:21 2013-01-18 21:21 · Answer 2 · 2013-01-18 21:21

Просто обновление, мы решили проблему, и это не имело ничего общего с Mac. У нас были некоторые проблемы с VPN-туннелем (были обнаружены некоторые проблемы с несовпадением ACL), которые блокировали определенные группы между сайтами. Как только эта проблема была решена, смена пароля AD через VPN для Mac начала работать. VPN, в которую входят пользователи, находится на другом сайте, чем серверы AD.

Спасибо за ваш вклад, всем.