Ogni computer aggiunto a un dominio (client che esegue Windows NT, Windows 2000, Windows XP o Windows Vista o server che esegue Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2) dispone di un account computer. Analogamente agli account utente, gli account computer consentono l'autenticazione e il controllo dell'accesso alla rete e alle risorse del dominio. Ogni account computer deve essere univoco.

Nota

I computer che eseguono Windows 95 e Windows 98 non dispongono di funzionalità di sicurezza avanzate. Pertanto, a tali computer non vengono assegnati account computer.

È possibile aggiungere, disattivare, reimpostare ed eliminare account utente e computer utilizzando lo snap-in Utenti e computer di Active Directory. È inoltre possibile creare un account computer quando si aggiunge un computer a un dominio.

Quando il livello di funzionalità del dominio è impostato su Windows Server 2008 o Windows Server 2008 R2, viene utilizzato un nuovo attributo, denominato lastLogonTimestamp, per tenere traccia dell'ora dell'ultimo accesso da parte di un account utente o computer. Questo attributo, replicato all'interno del dominio, fornisce informazioni importanti relative alla cronologia di un utente o di un computer.

Informazioni sui nomi di computer

Ogni account computer creato in Servizi di dominio Active Directory dispone di un nome distinto relativo, di un nome di computer precedente a Windows 2000 (nome di account del sistema di gestione degli account di sicurezza, SAM), di un suffisso Domain Name System (DNS) primario, di un nome host DNS e di un nome principale di servizio (SPN). L'amministratore immette il nome di computer al momento della creazione dell'account computer. Il nome di computer viene utilizzato come nome distinto relativo Lightweight Directory Access Protocol (LDAP).

In Servizi di dominio Active Directory viene suggerito un nome precedente a Windows 2000 composto dai primi 15 byte del nome distinto relativo. Il nome precedente a Windows 2000 può essere modificato dall'amministratore in qualsiasi momento.

Il nome DNS di un host è detto nome completo del computer e rappresenta un nome di dominio completo (FQDN, Fully Qualified Domain Name) DNS. Il nome di dominio completo è composto dal nome del computer (i primi 15 byte del nome di account SAM dell'account computer, senza il carattere "$") e dal suffisso DNS primario (il nome di dominio DNS del dominio in cui si trova l'account computer).

Per impostazione predefinita, la parte relativa al suffisso DNS primario dell'FQDN di un computer deve essere uguale al nome del dominio Active Directory in cui si trova il computer. Per consentire suffissi DNS primari diversi, l'amministratore di dominio può creare un elenco limitato di suffissi consentiti mediante la creazione dell'attributo msDS-AllowedDNSSuffixes nel contenitore di oggetti del dominio. La creazione e la gestione di questo attributo vengono eseguite dall'amministratore di dominio tramite Active Directory Service Interfaces o LDAP.

SPN è un attributo multivalore e viene di solito creato dal nome DNS dell'host. L'attributo SPN viene utilizzato durante il processo di autenticazione reciproca tra il client e il server che ospita un servizio particolare. Il client trova un account computer basati sull'SPN del servizio a cui sta tentando di connettersi. L'SPN può essere modificato dai membri del gruppo Domain Admins.

Ulteriori riferimenti


Argomenti della Guida