OpenLDAP ACL, чтобы позволить пользователям изменять свой пароль
Действительно неясно, что Вы ищете. Нет действительно нескольких "методов" разъединения клиентского компьютера от домена. (Я имею в виду, уверенный, Вы могли использовать NETDOM по сравнению с GUI, но он все еще называет те же API...),
Быть соединенным с доменом является ничем волшебным. Приложения и данные по ПК останутся неповрежденными (хотя программное обеспечение, которое было "продвинуто" с Групповой политикой, может удалить автоматически, если это было выбрано для удаления, когда это падает из объема управления.)
При разъединении клиента Windows XP от домена, Вы больше не будете мочь войти в систему с любыми учетными записями пользователя домена. Любой локальный пользователь представляет, которые были связаны с учетными записями пользователя домена, станет недоступным. Это, казалось бы, квалифицировало бы как "потеря функциональности приложения" мне. Предоставленный, ничто не будет потеряно - можно воссоединиться с доменом, и все вернется к функционированию, как это сделало прежде. Это просто неудобно.
Вы могли создать учетную запись локального пользователя на машине с тем же именем пользователя и паролем как действительная учетная запись пользователя домена. Это предоставило бы довольно прозрачный доступ к серверам в домене (доменные доверительные отношения "бедного человека", часто используемый на "Домашних" версиях операционных систем при необходимости к ресурсам домена доступа), но это не получит Вас локально сохраненный профиль пользователя существующего пользователя домена.
Можно "переместить" профиль пользователя от одной учетной записи до другого, но нет зарегистрированной и "поддерживаемой" операции для окончания с новым локальным профилем, имеющим тот же путь в "C:\Documents and Settings" как старый профиль к моему знанию. Учитывая количество приложений, что я видел, что, глупо, ссылки хранилища на папку "C:\Documents and Settings..." для профиля пользователя, сказал бы, что любое "решение", которое не сохраняет тот путь для новой локальной учетной записи, собирается привести к некоторой потере функциональности.
Попробуйте что-то вроде:
access to attrs=userPassword
by self write
by anonymous auth
by users none
access to * by * read
(Обратите внимание, что из соображений безопасности Вы не хотите всех, которые в состоянии читать UserPassword атрибут - который позволил бы людям просматривать Вашу тень/зашифрованные пароли и запускать взломанную программу против них легко.)
Редактирование для добавления требуемого объяснения access to attrs=userPassword ACL выше
by self write
Зарегистрированный пользователь может записать (изменяют) их собственный атрибут userPassword - это - то, что позволяет Вам изменить свой пароль.
by anonymous auth
Анонимные пользователи (кто связал с каталогом анонимно - то есть, не указывая DN и пароль) могут получить доступ к userPassword для единственной цели аутентификации (у них нет доступа к нему ни в каких других целях, как поиск или просмотр).
by users none
Это отклоняет, вошел в систему пользовательский доступ к чьему-либо еще атрибуту userPassword. Теоретически это могло быть auth также, но обычно (По крайней мере, в моей среде) зарегистрированный пользователь не должен должен быть аутентифицировать/связывать как другой пользователь.