MacのActive Directoryとモバイル環境
ディレクトリサービスには大量の機密データが保持されていることがあるので、セキュリティ保護してください。ほとんど常に、サービスへの照会は信頼できるネットワーク上の信頼できるデバイスに限定されます。つまり、ラップトップなどのリモートコンピュータがディレクトリサービスにアクセスするには、アクティブなVPN接続が必要です。
ローカルにキャッシュされた資格情報
モバイルユーザアカウントにはパスワードを含むユーザの情報がキャッシュされるので、ユーザは組織のネットワークとの接続が解除されているMacにログインできます。ディレクトリサービスで行われた変更は、Macが組織のネットワークに接続するまでMac上でアップデートされません。
モバイルアカウントパスワードを変更する
ディレクトリサービスにバインドされているMacでモバイルユーザのアカウントのパスワードを変更するには、コンピュータがディレクトリサービスに接続されている間に、アップルメニュー 
をクリックします。
ディレクトリサービスへの接続を確認するには、右側で「ネットワークアカウントサーバ」を確認します。緑色のインジケータは、ディレクトリサービスが利用できることを示します。モバイルユーザのアカウントの横にある「情報」ボタン 
をクリックしてから、「変更」をクリックします。
このプロセスにより、ユーザアカウントパスワードが3つの場所で変更されます:
リモートディレクトリサービス
ローカルにキャッシュされた資格情報ストア(「/private/var/db/dslocal/」)
ユーザのログインキーチェーンのデータストア
ログインキーチェーンはユーザのホームフォルダにある暗号化されたデータストアで、アプリやインターネットのパスワード、ユーザ証明書IDなどの機密情報が含まれています。デフォルトでは、このデータストアを暗号化するパスワードはユーザアカウントパスワードと同じで、ログイン時に自動的にロック解除されます。
Macが実際にディレクトリサービスに接続されていない間にネットワークアカウントパスワードが変更された場合、そのパスワードはローカルにキャッシュされた資格情報ストアでのみ変更されます。ユーザがディレクトリサービスに接続してログインすると、リモートディレクトリサービスがアップデートされ、Macはログインキーチェーンをロック解除できません。ユーザがログインキーチェーンのデータストアをアップデートするには、前のパスワードと新しいパスワードを入力する必要があります。ユーザが前のパスワードを入力できない場合は、新しいログインキーチェーンを作成することもできます。
ローカル専用のアカウントでは、構成プロファイルを使用してパスワードポリシーを適用できます。これにより、組織のポリシーへの準拠が確実に行われ、ログインキーチェーンとユーザアカウントパスワードの同期が簡略化されます。