Każdy komputer z systemem operacyjnym Windows NT, Windows 2000, Windows XP, Windows Vista® lub Windows 7 oraz każdy serwer z systemem Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2, który jest przyłączany do domeny, ma konto komputera. Podobnie jak konta użytkowników, konta komputerów umożliwiają uwierzytelnianie oraz przeprowadzanie inspekcji dostępu do sieci i zasobów domeny. Każde konto komputera musi być unikatowe.
Uwaga | |
Komputery z systemem Windows 95 oraz Windows 98 nie mają zaawansowanych funkcji zabezpieczeń. Dlatego też nie są im przypisywane konta komputerów. |
Centrum administracyjne usługi Active Directory umożliwia dodawanie, przenoszenie, resetowanie, wyłączanie, włączanie i usuwanie kont komputerów. Konto komputera można też utworzyć podczas przyłączania komputera do domeny.
Jeśli poziomem funkcjonalności domeny jest poziom systemu Windows Server 2008 lub Windows Server 2008 R2, atrybut lastLogonTimestamp jest używany do śledzenia godziny ostatniego logowania konta użytkownika lub komputera. Ten atrybut jest replikowany w obrębie domeny i dostarcza istotnych informacji dotyczących historii użytkownika lub komputera.
Opis nazw komputerów
Każde konto komputera tworzone w Usługach domenowych w usłudze Active Directory (AD DS) ma względną nazwę wyróżniającą (Relative Distinguished Name, RDN), nazwę komputera stosowaną w systemach starszych niż Windows 2000 (nazwę konta Menedżera kont zabezpieczeń - SAM), sufiks podstawowej domeny DNS (Domain Name System), nazwę hosta DNS oraz główną nazwę usługi (Service Principal Name, SPN). Administrator wprowadza nazwę komputera podczas tworzenia konta danego komputera. Ta nazwa komputera jest używana jako względna nazwa wyróżniająca LDAP (Lightweight Directory Access Protocol).
Usługi AD DS sugerują nazwę systemu starszego niż Windows 2000 przy użyciu pierwszych 15 bajtów względnej nazwy wyróżniającej. Nazwę systemu starszego niż Windows 2000 można zmienić w dowolnym momencie.
Nazwa DNS hosta jest określana jako pełna nazwa komputera. Jest to w pełni kwalifikowana nazwa domeny DNS (FQDN). Pełna nazwa komputera jest złączeniem nazwy komputera (pierwszych 15 bajtów nazwy konta SAM dla konta komputera, bez znaku „$”) oraz sufiksu podstawowej domeny DNS (nazwy DNS domeny, w której istnieje konto komputera), na przykład komputer1.contoso.com.
Domyślnie sufiks podstawowej domeny DNS w nazwie FQDN komputera musi być taki sam jak nazwa domeny usługi Active Directory, w której znajduje się komputer. Aby umożliwić stosowanie różnych sufiksów podstawowej domeny DNS, administrator domeny może utworzyć ograniczoną listę dozwolonych sufiksów, tworząc atrybut msDS-AllowedDNSSuffixes w kontenerze obiektu domeny. Administrator domeny tworzy ten atrybut i zarządza nim za pomocą interfejsów usługi Active Directory (ADSI) lub protokołu LDAP.
Nazwa SPN jest atrybutem wielowartościowym. Zazwyczaj jest tworzona na podstawie nazwy DNS hosta. Nazwa SPN jest używana podczas uwierzytelniania wzajemnego między klientem i serwerem obsługującym określoną usługę. Klient znajduje konto komputera na podstawie nazwy SPN usługi, z którą to konto próbuje nawiązać połączenie. Nazwę SPN mogą modyfikować członkowie grupy Administratorzy domeny.