Windows NT, Windows 2000, Windows XP 또는 Windows Vista를 실행하는 모든 컴퓨터나 도메인에 가입한 Windows Server 2003, Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 서버는 컴퓨터 계정을 가지고 있습니다. 사용자 계정과 마찬가지로 컴퓨터 계정은 네트워크 및 도메인 리소스에 대한 액세스 권한을 인증하고 감사하는 방법을 제공합니다. 각 컴퓨터 계정은 고유해야 합니다.
참고 | |
Windows 95 및 Windows 98을 실행하는 컴퓨터에는 고급 보안 기능이 없습니다. 그러므로 컴퓨터 계정이 할당되어 있지 않습니다. |
Active Directory 사용자 및 컴퓨터 스냅인을 사용해서 사용자 및 컴퓨터 계정을 추가, 해제, 다시 설정 및 삭제할 수 있습니다. 또한 컴퓨터를 도메인에 가입시킬 때 컴퓨터 계정을 만들 수도 있습니다.
도메인 기능 수준을 Windows Server 2008 또는 Windows Server 2008 R2로 설정하면 lastLogonTimestamp 특성이 사용자 또는 컴퓨터 계정의 마지막 로그온 시간을 추적하는 데 사용됩니다. 이 특성은 도메인 내에서 복제되며, 사용자 또는 컴퓨터의 기록에 관한 중요한 정보를 사용자에게 제공할 수 있습니다.
컴퓨터 이름 이해
AD DS(Active Directory 도메인 서비스)에서 만들어지는 컴퓨터 계정은 각각 상대적 고유 이름, Windows 2000 이전 버전 컴퓨터 이름(SAM(보안 계정 관리자) 계정 이름), 주 DNS(Domain Name System) 접미사, DNS 호스트 이름 및 SPN(서비스 사용자 이름)을 갖습니다. 관리자는 컴퓨터 계정을 만들 때 컴퓨터 이름을 입력합니다. 이 컴퓨터 이름은 LDAP(Lightweight Directory Access Protocol) 상대 고유 이름으로 사용됩니다.
AD DS는 Windows 2000 이전 버전의 이름에 상대 고유 이름의 첫 15바이트를 사용하도록 제안합니다. 관리자는 언제든지 Windows 2000 이전 버전의 이름을 변경할 수 있습니다.
호스트의 DNS 이름을 전체 컴퓨터 이름이라고 합니다. 즉, DNS FQDN(정규화된 도메인 이름)입니다. 전체 컴퓨터 이름은 컴퓨터 이름("$" 문자를 제외한 컴퓨터 계정의 SAM 계정 이름 중 첫 15바이트)과 주 DNS 접미사(해당 컴퓨터 계정이 존재하는 도메인의 DNS 도메인 이름)를 연결한 이름입니다.
기본적으로 컴퓨터에 대한 FQDN의 주 DNS 접미사 부분은 컴퓨터가 위치해 있는 Active Directory 도메인의 이름과 동일해야 합니다. 다른 주 DNS 접미사를 허용하기 위해 도메인 관리자가 도메인 개체 컨테이너에 msDS-AllowedDNSSuffixes 특성을 만들어 허용되는 접미사의 제한된 목록을 만들 수도 있습니다. 도메인 관리자는 ADSI(Active Directory 서비스 인터페이스) 또는 LDAP를 사용하여 이 특성을 만��고 관리합니다.
SPN은 다중값 특성으로, 일반적으로 호스트의 DNS 이름에서 만들어집니다. SPN은 특정 서비스를 호스팅하는 서버와 클라이언트 간의 상호 인증 프로세스에 사용됩니다. 클라이언트는 연결을 시도하고 있는 서비스의 SPN을 기반으로 컴퓨터 계정을 찾습니다. Domain Admins 그룹의 구성원은 SPN을 수정할 수 있습니다.