Alla datorer med något av operativsystemen Windows NT, Windows 2000, Windows XP och Windows Vista, eller en server med operativsystemet Windows Server 2003, Windows Server 2008 eller Windows Server 2008 R2 som ansluts till en domän har ett datorkonto. På samma vis som för användarkonton ger datorkonton en möjlighet att autentisera och granska åtkomsten till nätverket och domänresurserna. Alla datorkonton måste vara unika.

OBS

Datorer med Windows 95 och Windows 98 har inte några avancerade säkerhetsfunktioner. Av den anledningen tilldelas de inte några datorkonton.

Med snapin-modulen Active Directory - användare och datorer kan du lägga till, inaktivera, återställa och ta bort användar- och datorkonton. Du kan också skapa ett datorkonto när du ansluter en dator till en domän.

När domänens funktionsnivå är Windows Server 2008 eller Windows Server 2008 R2 spåras en användares eller dators senaste inloggningstid med hjälp av det nya attributet lastLogonTimestamp. Attributet replikeras inom domänen och kan förse dig med viktig information om en användares eller dators historik.

Så här fungerar datornamn

Alla datorkonton som skapas i Active Directory Domain Services (AD DS) har ett RDN (Relative Distinguished Name), ett datornamn för operativsystem före Windows 2000 (SAM-kontonamn (Security Accounts Manager)), ett primärt DNS-suffix (Domain Name System), ett DNS-datornamn och ett tjänsthuvudnamn (SPN). Datornamnet anges när administratören skapar datorkontot. Det här datornamnet används som relativt huvudnamn i LDAP (Lightweight Directory Access Protocol).

Med hjälp av det relativa huvudnamnets första 15 byte genererar AD DS ett namnförslag för operativsystem som är äldre än Windows 2000. Det namnet kan administratören kan när som helst ändra.

En dators DNS-namn kallas för ett fullständigt datornamn. Det är ett fullständigt kvalificerat domännamn (FQDN). Det fullständiga kvalificerade domännamnet är en sammansättning av datornamnet (datornamnets SAM-kontonamns första 15 byte utan $-tecknet) och det primära DNS-suffixet (DNS-domännamnet för den domän som datorn tillhör).

Som standard måste den primära DNS-suffixdelen av en dators FQDN överensstämma med namnet på den Active Directory-domän som datorn finns i. Om du vill tillåta olika primära DNS-suffix, kan en domänadministratör generera en begränsad lista med tillåtna suffix genom att skapa attributet msDS-AllowedDNSSuffixes i domänobjektbehållaren. Domänadministratören skapar och hanterar det här attributet med hjälp av ADSI (Active Directory Service Interfaces) eller LDAP.

SPN-namnet (tjänstens huvudnamn) är ett flervärdesattribut. Det genereras i allmänhet från datorns DNS-namn. SPN-namnet används i den ömsesidiga autentiseringsprocessen mellan en klient och den server som erbjuder en viss tjänst. Klienten hittar ett datorkonto baserat på SPN-namnet för den tjänst som datorn försöker ansluta till. SPN-namnet kan modifieras av medlemmar i gruppen Domänadministratörer.

Ytterligare referenser


Innehåll