ドメインに参加している、Windows NT、Windows 2000、Windows XP、Windows Vista®、または Windows 7 オペレーティング システムを実行しているコンピューター、および Windows Server 2003、Windows Server 2008、または Windows Server 2008 R2 を実行しているサーバーには、すべてコンピューター アカウントがあります。コンピューター アカウントは、ユーザー アカウントと同様に、ネットワークやドメイン リソースへのアクセスを認証および監査する手段となります。各コンピューター アカウントは一意であることが必要です。

Windows 95 や Windows 98 を実行するコンピューターには、高度なセキュリティ機能が備わっていません。そのため、これらのコンピューターにはコンピューター アカウントが割り当てられません。

Active Directory 管理センターを使用して、コンピューター アカウントを追加、移動、リセット、無効化、および削除できます。コンピューターをドメインに参加させるときに、コンピューター アカウントを作成することもできます。

ドメインの機能レベルが Windows Server 2008 または Windows Server 2008 R2 に設定されている場合は、lastLogonTimestamp 属性を使用して、ユーザー アカウントまたはコンピューター アカウントが最後にログインした時間を追跡します。この属性は、ドメイン内でレプリケートされ、ユーザーまたはコンピューターの履歴に関する重要な情報を提供します。

コンピューター名とは

Active Directory ドメイン サービス (AD DS) で作成された各コンピューター アカウントには、相対識別名 (RDN)、Windows 2000 より前のコンピューター名 (セキュリティ アカウント マネージャー (SAM) アカウント名)、プライマリ ドメイン ネーム システム (DNS) サフィックス、DNS ホスト名、およびサービス プリンシパル名 (SPN) が設定されます。管理者は、コンピューター アカウントの作成時にコンピューター名を入力します。このコンピューター名は、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 相対識別名として使用されます。

AD DS は、相対識別名の最初の 15 バイトを使用して、Windows 2000 より前の名前を示します。Windows 2000 より前の名前はいつでも変更できます。

ホストの DNS 名は、フル コンピューター名と呼ばれます。これは、DNS の完全修飾ドメイン名 (FQDN) です。フル コンピューター名は、computer1.contoso.com のように、コンピューター名 (そのコンピューター アカウントの SAM アカウント名の最初の 15 バイトから「$」を除いたもの) とプライマリ DNS サフィックス (そのコンピューター アカウントが存在するドメインの DNS ドメイン名) を連結したものです。

既定では、コンピューターの FQDN のプライマリ DNS サフィックス部分が、そのコンピューターが置かれている Active Directory ドメインの名前と同じである必要があります。別のプライマリ DNS サフィックスを使用できるようにするには、ドメイン管理者がドメイン オブジェクト コンテナーに msDS-AllowedDNSSuffixes 属性を作成して、許可されたサフィックスの制限の一覧を構築します。ドメイン管理者は、Active Directory サービス インターフェイス (ADSI) または LDAP を使用して、この属性を作成および管理します。

SPN は複数値の属性です。通常は、ホストの DNS 名から構築されます。SPN は、クライアントと、特定のサービスをホストしているサーバーとの間の、相互認証プロセスに使用されます。クライアントは、接続しようとしているサービスの SPN に基づいて、コンピューター アカウントを検索します。Domain Admins グループのメンバーは SPN を変更できます。

その他の参照情報


目次