Active Directory y la movilidad en el Mac
Los servicios del directorio pueden incluir una gran cantidad de datos sensibles y, por lo tanto, deben protegerse. La consultas al servicio casi siempre se limitan a dispositivos seguros en redes seguras. Es decir, los ordenadores remotos (como los portátiles) precisan una conexión VPN para acceder al servicio del directorio.
Credenciales almacenadas en caché localmente
Las cuentas de usuario móviles almacenan en caché la información del usuario, que incluye sus contraseñas, para que el usuario pueda iniciar sesión en el Mac cuando esté desconectado de la red de la organización. Los cambios realizados en el servicio de directorios no se pueden actualizar en el Mac hasta que se vuelva a conectar a la red de la organización.
Cambio de la contraseña de una cuenta móvil
Para cambiar la contraseña de la cuenta de usuario móvil en un Mac enlazado con el servicio de directorios, selecciona el menú Apple 
con el ordenador conectado al servicio de directorios.
Para verificar la conectividad con el servicio de directorios, comprueba el campo “Servidor de cuentas de red” a la derecha. Un indicador verde muestra la disponibilidad del servicio de directorios. Haz clic en el botón Información 
situado junto a la cuenta de usuario móvil y haz clic en Cambiar.
Este proceso garantiza que la contraseña de la cuenta del usuario se cambia en tres ubicaciones:
El servicio de directorios remoto
El almacenamiento de las credenciales almacenadas en caché localmente (/private/var/db/dslocal/)
El almacenamiento de datos del llavero de inicio de sesión del usuario
El llavero de inicio de sesión es un almacenamiento de datos encriptados en la carpeta de inicio del usuario, que contiene información sensible como contraseñas de apps e internet, así como identidades certificadas. Por omisión, la contraseña para desencriptar este almacenamiento de datos es la misma que la de la cuenta del usuario y se desbloquea automáticamente al iniciar sesión.
Si la contraseña de la cuenta de red se modifica mientras el Mac no está constantemente conectado al servicio de directorios, solo se cambia en el almacenamiento de las credenciales almacenadas en caché localmente. Cuando el usuario vuelve a conectarse al servicio de directorios e inicia sesión, el servicio de directorios remoto se actualiza y el Mac no puede desbloquear el llavero de inicio de sesión. El usuario debe proporcionar la contraseña anterior y la nueva para actualizar el almacenamiento de datos del llavero de inicio de sesión. En caso de que el usuario no pueda proporcionar la contraseña anterior, existe una opción para crear un nuevo llavero de inicio de sesión.
Con las cuentas solo locales, se puede aplicar una política de contraseñas con un perfil de configuración. Esto garantiza el cumplimiento de la política organizativa, al tiempo que simplifica la sincronización del llavero de inicio de sesión y de la contraseña de la cuenta del usuario.