每台加入域并运行 Windows NT、Windows 2000、Windows XP 或 Windows Vista 的计算机或者运行 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 的服务器都具有一个计算机帐户。与用户帐户类似,计算机帐户对访问网络和域资源提供了一种身份验证和审核方式。每个计算机帐户都必须是唯一的。
 | 注意 |
|
运行 Windows 95 和 Windows 98 的计算机没有高级安全功能。因此,没有为它们分配计算机帐户。 |
可以使用 Active Directory 用户和计算机管理单元来添加、禁用、重置及删除用户和计算机帐户。也可在将计算机加入域时创建计算机帐户。
将域功能级别设置为 Windows Server 2008 或 Windows Server 2008 R2 时,将使用 lastLogonTimestamp 属性跟踪用户或计算机帐户的最后登录时间。此属性在域中复制,并且可以提供有关用户或计算机历史记录的重要信息。
了解计算机名称
在 Active Directory 域服务 (AD DS) 中创建的每个计算机帐户都有一个相关辨别名称、一个 Windows 2000 之前的计算机名称(安全帐户管理器 (SAM) 帐户名)、一个主域名系统 (DNS) 后缀、一个 DNS 主机名和一个服务主体名称 (SPN)。管理员在创建计算机帐户时输入计算机名。此计算机名用作轻型目录访问协议 (LDAP) 的相对可分辨名称。
AD DS 建议 Windows 2000 以前的名称使用相对可分辨名称的前 15 个字节。管理员可以随时更改 Windows 2000 以前的名称。
主机的 DNS 名称称为计算机全名。它是一个 DNS 完全限定的域名 (FQDN)。计算机全名是由计算机名(计算机帐户的 SAM 帐户名的前 15 个字节,其中不带“$”字符)和 主 DNS 后缀(计算机帐户所在的域的 DNS 域名)拼接而成。
默认情况下,计算机的 FQDN 的主 DNS 后缀部分必须与计算机所在的 Active Directory 域名相同。若要允许不同的主 DNS 后缀,域管理员可以通过在域对象容器中创建 msDS-AllowedDNSSuffixes 属性构建一个可用后缀的限制列表。域管理员使用 Active Directory 服务接口 (ADSI) 或 LDAP 创建和管理此属性。
SPN 是一个多值属性。它通常从主机的 DNS 名称构建。在运行特定服务的客户端和服务器之间进行相互身份验证时将使用 SPN。客户端基于其正在尝试连接的服务的 SPN 发现计算机帐户。Domain Admins 组的成员可以修改 SPN。