Ogni computer che esegue i sistemi operativi Windows NT, Windows 2000, Windows XP. Windows Vista® o Windows 7 oppure un server che esegue Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 aggiunto a un dominio dispone di un account computer. Analogamente agli account utente, gli account computer consentono l'autenticazione e il controllo dell'accesso alla rete e alle risorse del dominio. Ogni account computer deve essere univoco.

Nota

I computer che eseguono Windows 95 e Windows 98 non dispongono di funzionalità di sicurezza avanzate. A tali computer non vengono pertanto assegnati account computer.

È possibile aggiungere, spostare, reimpostare, disabilitare, abilitare ed eliminare account computer utilizzando il Centro di amministrazione di Active Directory. È inoltre possibile creare un account computer nel momento in cui un computer viene aggiunto a un dominio.

Quando il livello di funzionalità del dominio è impostato su Windows Server 2008 o Windows Server 2008 R2, viene utilizzato un nuovo attributo, denominato lastLogonTimestamp, per tenere traccia dell'ora dell'ultimo accesso da parte di un account utente o computer. Questo attributo viene replicato all'interno del dominio e fornisce informazioni importanti relative alla cronologia di un utente o di un computer.

Informazioni sui nomi di computer

Ogni account computer creato in Servizi di dominio Active Directory dispone di un nome distinto relativo (noto anche come RDN), di un nome computer precedente a Windows 2000, ovvero un nome account del sistema di gestione degli account di sicurezza (SAM), di un suffisso DNS (Domain Name System) primario, di un nome host DNS e di un nome principale di servizio (SPN). L'amministratore immette il nome del computer al momento della creazione dell'account computer. Il nome del computer viene utilizzato come nome distinto relativo LDAP (Lightweight Directory Access Protocol).

In Servizi di dominio Active Directory viene proposto automaticamente un nome precedente a Windows 2000 in base ai primi 15 byte del nome distinto relativo. È possibile modificare il nome precedente a Windows 2000 in qualsiasi momento.

Il nome DNS di un host è detto nome completo del computer e rappresenta un nome di dominio completo (FQDN) DNS. Il nome di dominio completo è composto dal nome del computer (i primi 15 byte del nome account SAM dell'account computer senza il carattere "$") e dal suffisso DNS primario (il nome di dominio DNS del dominio in cui si trova l'account computer), ad esempio computer1.contoso.com.

Per impostazione predefinita, la parte relativa al suffisso DNS primario dell'FQDN di un computer deve essere uguale al nome del dominio Active Directory in cui si trova il computer. Per consentire l'utilizzo di suffissi DNS primari diversi, l'amministratore di dominio può generare un elenco con restrizioni di suffissi consentiti mediante la creazione dell'attributo msDS-AllowedDNSSuffixes nel contenitore di oggetti dominio. La creazione e la gestione di questo attributo vengono eseguite dall'amministratore di dominio tramite Active Directory Service Interfaces o LDAP.

SPN è un attributo multivalore e viene in genere creato dal nome DNS dell'host. L'SPN viene utilizzato nel processo di autenticazione reciproca tra il client e il server che ospita un particolare servizio. Il client individua un account computer in base all'SPN del servizio a cui sta tentando di connettersi. L'SPN può essere modificato dai membri del gruppo Domain Admins.

Ulteriori riferimenti


Argomenti della Guida