Alle computers met Windows NT, Windows 2000, Windows XP of Windows Vista of servers met Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2 die aan een domein zijn gekoppeld, hebben een computeraccount. Net als gebruikersaccounts bieden computeraccounts een mogelijkheid om toegang tot het netwerk en tot domeinresources te verifiëren en controleren. Elk computeraccount moet uniek zijn.
Opmerking | |
Computers met Windows 95 en Windows 98 hebben geen geavanceerde beveiligingsfuncties, en krijgen daarom geen computeraccounts toegewezen. |
U kunt gebruikers- en computeraccounts toevoegen, uitschakelen, opnieuw instellen en verwijderen met de module Active Directory:gebruikers en computers. U kunt ook een computeraccount maken wanneer u een computer lid maakt van een domein.
Wanneer het domeinfunctionaliteitsniveau is ingesteld op Windows Server 2008 of Windows Server 2008 R2, wordt er een nieuw lastLogonTimestamp-kenmerk gebruikt om de laatste aanmeldingstijd van een gebruikers- of computeraccount bij te houden. Dit kenmerk wordt binnen het domein gerepliceerd, en kan belangrijke informatie bieden over de geschiedenis van een gebruiker of computer.
Wat zijn computernamen?
Elke computeraccount die in AD DS (Active Directory Domain Services) wordt gemaakt, heeft een relatieve DN-naam (Distinguished Name), een pre-Windows 2000-computernaam (Security Accounts Manager-naam of SAM-naam), een primair DNS-achtervoegsel (Domain Name System), een DNS-hostnaam en een SPN-naam (Service Principal Name). De administrator voert de computernaam in wanneer hij of zij het computeraccount maakt. Deze naam wordt gebruikt als de relatieve DN-naam (Distinguished Name) van het LDAP (Lightweight Directory Access Protocol).
AD DS stelt de pre-Windows 2000-naam voor en gebruikt de eerste 15 bytes van de relatieve DN-naam. De administrator kan de pre-Windows 2000-naam op elk moment wijzigen.
De DNS-naam voor een host wordt de volledige computernaam genoemd. Dit is een DNS FQDN-naam (Fully Qualified Domain Name). De volledige computernaam is een samenvoeging van de computernaam (de eerste 15 bytes van de SAM-accountnaam van het computeraccount, zonder het dollarteken) en het primaire DNS-achtervoegsel (de DNS-domeinnaam van het domein waarin het computeraccount zich bevindt).
Het primaire DNS-achtervoegsel van de FQDN voor een computer moet standaard hetzelfde zijn als de naam van het Active Directory-domein waar de computer zich bevindt. Teneinde verschillende primaire DNS-achtervoegsels toe te staan kan een domeinadministrator een beperkte lijst met toegestane achtervoegsels maken door het kenmerk msDS-AllowedDNSSuffixes in de container van het domeinobject te maken. De domeinadministrator maakt en beheert dit kenmerk via ADSI (Active Directory Service Interfaces) of LDAP.
De SPN is een kenmerk met meerdere waarden, en wordt meestal opgebouwd uit de DNS-naam van de host. De SPN wordt gebruikt bij het proces van wederzijdse verificatie tussen de client en de server die een bepaalde service host. De client zoekt een computeraccount op basis van de SPN van de service waarmee de client een verbinding tot stand probeert te brengen. Leden van de groep Domeinadministrators kunnen de SPN wijzigen.