Tous les ordinateurs exécutant Windows NT, Windows 2000, Windows XP ou Windows Vista et tous les serveurs exécutant Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 qui joignent un domaine possèdent un compte d’ordinateur. Comme les comptes d’utilisateurs, les comptes d’ordinateurs permettent d’authentifier et d’auditer l’accès au réseau et aux ressources de domaine. Chaque compte d’ordinateur doit être unique.

Remarques

Les ordinateurs qui exécutent Windows 95 et Windows 98 ne possèdent pas de fonctionnalités de sécurité avancées. Par conséquent, ils ne sont pas affectés aux comptes d’ordinateurs.

Vous pouvez ajouter, désactiver, réinitialiser et supprimer des comptes d’utilisateurs et d’ordinateurs à l’aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Vous pouvez également créer un compte d’ordinateur lorsque vous joignez un ordinateur à un domaine.

Lorsque le niveau fonctionnel de domaine est défini sur Windows Server 2008 ou Windows Server 2008 R2, un attribut lastLogonTimestamp est utilisé pour assurer le suivi de l’heure de la dernière ouverture de session d’un compte d’utilisateur ou d’ordinateur. Cet attribut est répliqué dans le domaine et il peut vous fournir des informations importantes sur l’historique d’un ordinateur ou d’un utilisateur.

Présentation des noms d’ordinateurs

Chaque compte d’ordinateur créé dans les services de domaine Active Directory (AD DS) possède un nom unique relatif, un nom d’ordinateur antérieur à Windows 2000 (nom de compte SAM (Security Accounts Manager)), un suffixe DNS (Domain Name System) principal, un nom d’hôte DNS et un nom principal de service (SPN). L’administrateur entre le nom d’ordinateur lorsqu’il crée le compte d’ordinateur. Ce nom d’ordinateur est utilisé comme nom unique relatif LDAP (Lightweight Directory Access Protocol).

AD DS suggère le nom antérieur à Windows 2000 en utilisant les 15 premiers octets du nom unique relatif. L’administrateur peut modifier le nom antérieur à Windows 2000 à tout moment.

Le nom DNS pour un hôte s’appelle un nom complet d’ordinateur. Il s’agit d’un nom de domaine complet DNS (FQDN, Fully Qualified Domain Name). Le nom complet d’ordinateur est une concaténation du nom d’ordinateur (les 15 premiers octets du nom de compte SAM du compte d’ordinateur sans le caractère « $ ») et le suffixe DNS principal (le nom de domaine DNS du domaine dans lequel réside le compte d’ordinateur).

Par défaut, la portion du suffixe DNS principal du nom de domaine complet (FQDN) pour un ordinateur doit être la même que le nom du domaine Active Directory qui contient l’ordinateur. Pour autoriser différents suffixes DNS principaux, un administrateur de domaine peut créer une liste restreinte des suffixes autorisés en créant l’attribut msDS-AllowedDNSSuffixes dans le conteneur objet de domaine. L’administrateur de domaine crée et gère cet attribut à l’aide des interfaces ADSI (Active Directory Service Interfaces) ou de LDAP.

Le nom principal de service (SPN) est un attribut à plusieurs valeurs. Il est créé habituellement à partir du nom DNS de l’hôte. Le nom principal de service (SPN) est utilisé au cours du processus d’authentification mutuelle entre le client et le serveur qui héberge un service particulier. Le client recherche un compte d’ordinateur basé sur le SPN du service auquel il tente de se connecter. Les membres du groupe Admins du domaine peuvent modifier le SPN.

Références supplémentaires


Table des matières