Tienen una cuenta de equipo todos los equipos que ejecuten los sistemas operativos Windows NT, Windows 2000, Windows XP, Windows Vista® o Windows 7, o un servidor que ejecute Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 y que se una a un dominio. Como sucede con las cuentas de usuario, las cuentas de equipo sirven para autenticar y auditar el acceso a la red y a los recursos del dominio. Una cuenta de equipo debe ser única.
Nota | |
Los equipos en los que se ejecuta Windows 95 y Windows 98 no tienen características de seguridad avanzadas. Por ese motivo no se les asignan cuentas de equipo. |
Puede agregar, mover, restablecer, deshabilitar, habilitar y eliminar cuentas de usuario y de equipo con el Centro de administración de Active Directory. También puede crear una cuenta de equipo al unir un equipo a un dominio.
Si el nivel funcional del dominio se establece en Windows Server 2008 o en Windows Server 2008 R2, se usa el atributo lastLogonTimestamp para realizar el seguimiento de la hora del último inicio de sesión de una cuenta de usuario o equipo. Este atributo se replica en el dominio y puede proporcionar información importante acerca del historial de un usuario o un equipo.
Información acerca de los nombres de equipo
Cada cuenta de equipo que se crea en los Servicios de dominio de Active Directory (AD DS) tiene un nombre distintivo relativo, (conocido también como RDN), un nombre de equipo anterior a Windows 2000 (es decir, nombre de cuenta del Administrador de cuentas de seguridad (SAM)), un sufijo del Sistema de nombres de dominio (DNS) principal, un nombre de host DNS y un nombre principal de servicio (SPN). El administrador escribe el nombre del equipo cuando crea la cuenta de equipo. Este nombre de equipo se usa como nombre distintivo relativo del Protocolo ligero de acceso a directorios (LDAP).
AD DS sugiere el nombre anterior a Windows 2000 con los 15 primeros bytes del nombre distintivo relativo. Puede cambiar el nombre anterior a Windows 2000 cuando lo desee.
El nombre DNS de un host se conoce como nombre completo de equipo. Se trata de un nombre de dominio completo (FQDN) de DNS. El nombre completo de equipo es una concatenación del nombre de equipo (los 15 primeros bytes del nombre de cuenta SAM de la cuenta de equipo sin el carácter "$") y el sufijo DNS primario (el nombre de dominio DNS correspondiente al dominio en el que existe la cuenta de equipo), por ejemplo, computer1.contoso.com.
De manera predeterminada, la parte del FQDN de un equipo que corresponde al sufijo DNS principal debe coincidir con el nombre del dominio de Active Directory donde se encuentra el equipo. Para que pueda haber distintos sufijos DNS principales, el administrador de dominio puede generar una lista restringida de sufijos permitidos mediante la inclusión del atributo msDS-AllowedDNSSuffixes en el contenedor de objetos de dominio. El administrador de dominio crea y administra este atributo con las interfaces ADSI o LDAP.
El SPN es un atributo que tiene varios valores. Normalmente se genera a partir del nombre DNS del host. El SPN se usa en el proceso de autenticación mutua entre el cliente y el servidor que hospeda un servicio en particular. El cliente encuentra una cuenta de equipo basándose en el SPN del servicio al que intenta conectarse. Los miembros del grupo Admins. del dominio pueden modificar el SPN.