Todos os computadores com o Windows NT, Windows 2000, Windows XP ou Windows Vista ou um servidor com o Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 que associem um domínio têm uma conta de computador. À semelhança das contas de utilizador, as contas de computador fornecem um meio de autenticação e auditoria de acesso à rede e aos recursos de domínio. Cada conta de computador tem de ser exclusiva.

Nota

Os computadores com Windows 95 e Windows 98 não têm funcionalidades de segurança avançadas. Assim, não lhes são atribuídas contas de computador.

Pode adicionar, desactivar, repor e eliminar contas de utilizador e de computador com o snap-in Utilizadores e Computadores do Active Directory. Também pode criar uma conta de computador quando associa um computador a um domínio.

Quando o nível de funcionalidade do domínio estiver definido para o Windows Server 2008 ou o Windows Server 2008 R2, é utilizado um atributo lastLogonTimestamp para controlar o horário do último início de sessão de uma conta de utilizador ou de computador. Este atributo é replicado no domínio e pode fornecer informações importantes relativamente ao histórico de um utilizador ou computador.

Noções sobre nomes de computador

Cada conta de computador criado nos Serviços de Domínio do Active Directory (AD DS) tem um nome único relativo, um nome de computador anterior ao Windows 2000 (nome de conta SAM (Gestor de Contas de Segurança)), um sufixo DNS (Sistema de Nomes de Domínio) primário, um nome de anfitrião DNS e um SPN (nome principal, de serviço). O administrador introduz o nome do computador quando cria a conta de computador. Este nome de computador é utilizado como nome único relativo do protocolo LDAP (Lightweight Directory Access Protocol).

O AD DS sugere o nome anterior ao Windows 2000 utilizando os primeiros 15 bytes do nome único relativo. O administrador pode alterar o nome anterior ao Windows 2000 em qualquer altura.

O nome de DNS para um anfitrião denomina-se nome completo do computador. Trata-se do FQDN (nome de domínio completamente qualificado) de DNS. O nome completo do computador é uma concatenação do nome do computador (os primeiros 15 bytes do nome de conta SAM da conta de computador sem o carácter "$") e do sufixo de DNS primário (o nome de domínio de DNS do domínio no qual a conta de computador existe).

Por predefinição, a parte do sufixo de DSN primário do FQDN de um computador tem de ser igual ao nome do domínio do Active Directory no qual o computador está localizado. Para permitir a existência de sufixos de DNS primários diferentes, um administrador de domínio pode elaborar uma lista restrita de sufixos permitidos criando o atributo msDS-AllowedDNSSuffixes no contentor do objecto de domínio. O administrador do domínio cria e gere este atributo com ADSI (Interfaces de Serviço do Active Directory) ou LDAP.

O SPN é um atributo com diversos valores. Normalmente, é criado a partir do nome de DNS do anfitrião. O SPN é utilizado no processo de autenticação mútua entre o cliente e o servidor que aloja um serviço específico. O cliente localiza uma conta de computador baseada no SPN do serviço ao qual está a tentar ligar-se. Os membros do grupo Admins do Domínio podem modificar o SPN.

Referências adicionais


Sumário