use*_*781 5 active-directory mac-osx cisco-vpn windows-server-2008-r2
在我们的办公室,我们正在运行一些运行 Active Directory 域的 Windows 服务器。我们有许多我们强制执行的安全策略,包括 180 天密码过期策略。公司中的每个人都有一台加入域的笔记本电脑,混合了 Win7 和 Macbook Pro(Mountain Lion 或 Lion)。每个用户域登录都用于登录他们的笔记本电脑以及一些公司资源,包括离开办公室时的 Cisco VPN 连接。
当到期日期到来时,对于大多数用户来说这不是问题。他们进入办公室,收到到期通知,并在登录时或通过 Win7 或 OS X 的常用更改密码选项更改密码。
问题出现在少数永久远程办公用户身上。特别是 Mac 用户。我找到了几种方法来通知用户密码过期(脚本+电子邮件、adpassmon 等)。问题是实际的密码更改。Windows 用户可以进入 VPN,按 Ctrl-Alt-Del,更改他们的密码,一切都已更新,一切正常。如果 Mac VPN 已进入并尝试更改其密码,他们只会收到“密码未更改”消息(“您的系统管理员可能不允许您更改密码,或者您的密码存在其他问题...”) .
任何人都知道为什么,或者有解决方案吗?我知道我可以让用户使用 VPN 和远程桌面到另一台机器来更改他们的密码,但这会对本地机器的钥匙串和 sudo 权限造成严重破坏,下次他们访问办公室时可能会变得更糟。
编辑:我应该澄清一个问题似乎是即使使用活动的 vpn 连接,OS X 似乎也不会尝试与 AD 服务器通信/验证(只是继续使用缓存的凭据),即使密码更改已经尝试过。因此,即使通过某种外部方法(OWA、远程桌面、我手动重置)更改了密码,OS X 机器也不会有更改后的密码。这将需要用户知道 2 个密码一段时间,以及一些可能的钥匙串和 sudo 权限。
如果您有 Exchange,您是否考虑过通过 OWA 实现更改它的功能?http://technet.microsoft.com/en-us/library/bb684904%28v=exchg.141%29.aspx
另一种选择是使用 ManageEngine 的 AD 自助服务产品:http://www.manageengine.com/products/self-service-password/download.html
有一件事“有点”超出了问题的范围,那就是我一直在 AdmitMAC 方面拥有丰富的经验:http://www.thursby.com/products/admitmac.html,供我们员工使用的 Mac 使用。
| 归档时间: |
|
| 查看次数: |
29958 次 |
| 最近记录: |