Todo computador executando o Windows NT, o Windows 2000, o Windows XP ou o Windows Vista, ou um servidor executando o Windows Server 2003, o Windows Server 2008 ou o Windows Server 2008 R2 e que ingresse em um domínio tem uma conta de computador. Assim como as contas de usuário, as contas de computador oferecem uma maneira de autenticar e auditar o acesso à rede e aos recursos do domínio. Cada conta de computador deve ser única.

Observação

Os computadores que executam o Windows 95 e o Windows 98 não têm recursos avançados de segurança. Portanto, eles não recebem contas de computador.

Você pode adicionar, desativar, redefinir e excluir contas de usuário e de computador com o snap-in Usuários e Computadores do Active Directory. Você também pode criar uma conta de computador quando ingressar um computador em um domínio.

Quando o nível funcional do domínio é definido como Windows Server 2008 ou Windows Server 2008 R2, um atributo lastLogonTimestamp é usado para monitorar o horário do último logon de uma conta de usuário ou computador. Esse atributo é replicado no domínio e pode fornecer informações importantes sobre o histórico de um usuário ou computador.

Noções básicas sobre nomes de computador

Cada conta de computador criada nos Serviços de Domínio Active Directory (AD DS) tem um nome distinto relativo, um nome de computador para sistemas operacionais anteriores ao Windows 2000, isto é, o nome de conta do SAM (Gerenciador de contas de segurança), um sufixo de DNS (Sistema de nome de domínio) primário, um nome de host DNS e um nome da entidade de serviço (SPN). O administrador digita o nome de computador quando cria a conta de computador. Esse nome de computador é usado como o nome distinto relativo do protocolo LDAP.

O AD DS sugere o nome para sistemas operacionais anteriores ao Windows 2000 usando os 15 primeiros bytes do nome distinto relativo. O administrador pode alterar o nome para sistemas operacionais anteriores ao Windows 2000 quando quiser.

O nome DNS de um host é chamado de nome completo do computador. Trata-se de um nome de domínio DNS totalmente qualificado (FQDN). O nome totalmente qualificado é uma concatenação do nome de computador (os 15 primeiros bytes do nome de conta SAM da conta de computador sem o caractere "$") e o sufixo DNS primário (o nome de domínio DNS do domínio no qual a conta de computador existe).

Por padrão, a parte do sufixo DNS primário do FQDN de um computador deve ser igual ao nome do domínio Active Directory no qual está localizado o computador. Para permitir sufixos DNS primários diferentes, o administrador de um domínio pode criar uma lista restrita de sufixos permitidos criando o atributo msDS-AllowedDNSSuffixes no contêiner do objeto de domínio. O administrador do domínio cria e gerencia esse atributo com o Active Directory Service Interfaces (ADSI) ou o LDAP.

O SPN é um atributo que pode receber vários valores. Normalmente ele é criado a partir do nome DNS do host. O SPN é usado no processo de autenticação mútua entre o cliente e o servidor que hospeda um determinado serviço. O cliente localiza uma conta de computador com base no SPN do serviço ao qual ele está tentando se conectar. Os membros do grupo Admins. do domínio podem modificar o SPN.

Referências adicionais


Sumário