Un equipo en el que se ejecuta Windows NT, Windows 2000, Windows XP o Windows Vista o un servidor en el que se ejecuta Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 que se una a un dominio tiene una cuenta de equipo. Como sucede con las cuentas de usuario, las cuentas de equipo sirven para autenticar y auditar el acceso a la red y a los recursos del dominio. Una cuenta de equipo debe ser única.
Nota | |
Los equipos en los que se ejecuta Windows 95 y Windows 98 no tienen características de seguridad avanzadas. Por ese motivo no se les asignan cuentas de equipo. |
Puede agregar, deshabilitar, restablecer y eliminar cuentas de usuario y de equipo con Usuarios y equipos de Active Directory. Además, puede crear una cuenta de equipo al unir un equipo a un dominio.
Si el nivel funcional del dominio se establece en Windows Server 2008 o en Windows Server 2008 R2, se usa el atributo lastLogonTimestamp para realizar el seguimiento de la hora del último inicio de sesión de una cuenta de usuario o equipo. Este atributo se replica en el dominio y puede proporcionar información importante acerca del historial de un usuario o un equipo.
Información acerca de los nombres de equipo
Cada cuenta de equipo que se crea en los Servicios de dominio de Active Directory (AD DS) tiene un nombre distintivo relativo, un nombre de equipo anterior a Windows 2000 (nombre de cuenta del Administrador de cuentas de seguridad (SAM)), un sufijo del Sistema de nombres de dominio (DNS) primario, un nombre de host DNS y un nombre principal de servicio (SPN). El administrador escribe el nombre del equipo cuando crea la cuenta de equipo. Este nombre de equipo se usa como nombre distintivo relativo del Protocolo ligero de acceso a directorios (LDAP).
AD DS sugiere el nombre anterior a Windows 2000 con los 15 primeros bytes del nombre distintivo relativo. El administrador puede cambiar el nombre anterior a Windows 2000 cuando lo desee.
El nombre DNS de un host se conoce como nombre completo de equipo. Se trata de un nombre de dominio completo (FQDN) de DNS. El nombre completo de equipo es una concatenación del nombre de equipo (los 15 primeros bytes del nombre de cuenta SAM de la cuenta de equipo sin el carácter "$") y el sufijo DNS primario (el nombre de dominio DNS correspondiente al dominio en el que existe la cuenta de equipo).
De manera predeterminada, la parte del FQDN de un equipo que corresponde al sufijo DNS primario debe coincidir con el nombre del dominio de Active Directory donde se encuentra el equipo. Para que pueda haber distintos sufijos DNS primarios, el administrador de dominio puede generar una lista restringida de sufijos permitidos mediante la inclusión del atributo msDS-AllowedDNSSuffixes en el contenedor de objetos de dominio. El administrador de dominio crea y administra este atributo con las interfaces ADSI o LDAP.
El SPN es un atributo que tiene varios valores. Normalmente se genera a partir del nombre DNS del host. El SPN se usa en el proceso de autenticación mutua entre el cliente y el servidor que hospeda un servicio concreto. El cliente encuentra una cuenta de equipo basándose en el SPN del servicio al que intenta conectarse. Los miembros del grupo Administradores del dominio pueden modificar el SPN.