Varje dator med något av operativsystemen Windows NT, Windows 2000, Windows XP, Windows Vista® eller Windows 7 och varje server som kör Windows Server 2003 Windows Server 2008 eller Windows Server 2008 R2 som ansluts till en domän har ett datorkonto. På samma vis som för användarkonton ger datorkonton en möjlighet att autentisera och granska åtkomsten till nätverket och domänresurserna. Alla datorkonton måste vara unika.

OBS

Datorer med Windows 95 och Windows 98 har inte några avancerade säkerhetsfunktioner. Av den anledningen tilldelas de inte några datorkonton.

Med hjälp av Active Directory Administrationscenter kan du lägga till, flytta, återställa, inaktivera, aktivera och ta bort datorkonton. Du kan också skapa ett datorkonto när du ansluter en dator till en domän.

När domänens funktionsnivå är Windows Server 2008 eller Windows Server 2008 R2 spåras en användares eller dators senaste inloggningstid med hjälp av det nya attributet lastLogonTimestamp. Attributet replikeras inom domänen och kan förse dig med viktig information om en användares eller dators historik.

Så här fungerar datornamn

Alla datorkonton som skapas i Active Directory-domäntjänster (AD DS) har ett RDN-namn (Relative Distinguished Name), ett datornamn för operativsystem före Windows 2000 (d.v.s. ett SAM-kontonamn (Security Accounts Manager)), ett primärt DNS-suffix (Domain Name System), ett DNS-värdnamn och ett tjänsthuvudnamn (SPN). Datornamnet anges när administratören skapar datorkontot. Det här datornamnet används som relativt huvudnamn i LDAP (Lightweight Directory Access Protocol).

Med hjälp av det relativa huvudnamnets första 15 byte genererar AD DS ett namnförslag för operativsystem som är äldre än Windows 2000. Detta namn kan ändras när som helst.

En dators DNS-namn kallas för ett fullständigt datornamn. Det är ett fullständigt kvalificerat domännamn (FQDN). Det fullständiga kvalificerade domännamnet är en sammansättning av datornamnet (datornamnets SAM-kontonamns första 15 byte utan $-tecknet) och det primära DNS-suffixet (DNS-domännamnet för den domän som datorn tillhör), till exempel dator1.contoso.com.

Som standard måste den primära DNS-suffixdelen av en dators FQDN överensstämma med namnet på den Active Directory-domän som datorn finns i. Om du vill tillåta olika primära DNS-suffix, kan en domänadministratör generera en begränsad lista med tillåtna suffix genom att skapa attributet msDS-AllowedDNSSuffixes i domänobjektbehållaren. Domänadministratören skapar och hanterar det här attributet med hjälp av ADSI (Active Directory Service Interfaces) eller LDAP.

SPN-namnet (tjänstens huvudnamn) är ett flervärdesattribut. Det genereras i allmänhet från datorns DNS-namn. SPN-namnet används i den ömsesidiga autentiseringsprocessen mellan en klient och den server som erbjuder en viss tjänst. Klienten hittar ett datorkonto baserat på SPN-namnet för den tjänst som datorn försöker ansluta till. SPN-namnet kan modifieras av medlemmar i gruppen Domänadministratörer.

Ytterligare referenser


Innehåll