Ja, Du hast den Grund gefunden, warum die IDs der User und die in der Vault auseinander laufen können... Das Passwort, dass der User auf seiner lokalen Kopie der ID benutzt, passt nicht zum Passwort in der Vault.
Wie kann das passieren? Beispielsweise: Der User muss sein Kennwort ändern (weil abgelaufen). Er arbeitet an PC 1 mit dem neuen Kennwort. Nach einer Weile wechselt er zu PC 2. Wenn er hier bei der ersten Verwendung das NEUE Kennwort verwendet, ist alles gut: Die IDs synchronisieren. Verwendet er das ALTE Kennwort, geht das auch (weil das ja in der lokalen ID gespeichert ist), aber ab dem Zeitpunkt synchronisiert seine ID nicht mehr mit der Vault.
Das ist nur ein Beispiel... es könnte auch sowas sein, dass der Admin das Kennwort temporär zurücksetzt, um einen neuen Rechner einzurichten (einige meiner Kunden machen das so). Wenn der User in der Zeit arbeitet und sein "normales" Kennwort verwendet, dann haben wir wieder eine "abgeängte ID". Wird die dann beim Rechnerwechsel zurückkopiert, dann hat man auch so einen Fall.
Ab Version 10 hat HCL da reagiert: Die Vault erkennt solche "outdated" IDs und setzt sie auf Inaktiv. Dadurch kann die ID aus dem Client wieder hochgeladen werden, und synchronisiert wieder. In Version 9 musst Du die Prüfung selbst machen.
Wann wird die ID in der Vault aktualisiert: Nun, jedesmal wenn sich was an der ID ändert:
- Rezertifizierung des Users
- Passwortwechsel
- Aufnahme eine Verschlüsselungsschlüssels
- Aufnahme eines S-Mime Schlüssels
- Umbenennung
- etc.
