每部執行 Windows NT、Windows 2000、Windows XP 或 Windows Vista 的電腦,或執行 Windows Server 2003、Windows Server 2008 或加入網域之 Windows Server 2008 R2 的伺服器都有電腦帳戶。像使用者帳戶一樣,電腦帳戶提供了驗證及稽核網路與網域資源存取權的方法。每個電腦帳戶都必須是唯一的。
附註 | |
執行 Windows 95 與 Windows 98 的電腦沒有進階的安全性功能。因此,也沒有指派的電腦帳戶。 |
您可以利用 [Active Directory 使用者和電腦] 嵌入式管理單元,新增、停用、重設及刪除使用者和電腦帳戶。也可以在將電腦加入網域時,建立電腦帳戶。
當網域功能等級設為 Windows Server 2008 或 Windows Server 2008 R2 時,lastLogonTimestamp 屬性就會用於追蹤使用者或電腦帳戶的最後登入時間。此屬性會在網域內複寫,而且可以提供給您有關使用者或電腦歷程記錄的重要資訊。
了解電腦名稱
在 Active Directory 網域服務 (AD DS) 中建立的每個電腦帳戶都有相對辨別名稱、Windows 2000 之前的電腦名稱 (安全性帳戶管理員 (SAM) 帳戶名稱)、主要網域名稱系統 (DNS) 尾碼、DNS 主機名稱及服務主要名稱 (SPN)。系統管理員會在建立電腦帳戶時輸入電腦名稱。此電腦名稱可做為輕量型目錄存取通訊協定 (LDAP) 相對辨別名稱。
AD DS 建議 Windows 2000 之前的名稱使用相對辨別名稱的前 15 個位元組。系統管理員可以隨時變更 Windows 2000 之前的名稱。
主機的 DNS 名稱可稱之為完整電腦名稱。這是個 DNS 完整網域名稱 (FQDN)。完整電腦名稱串連了電腦名稱 (電腦帳戶之 SAM 帳戶名稱的前 15 個位元組,不含 "$" 字元) 和主要 DNS 尾碼 (電腦帳戶所在網域的 DNS 網域名稱)。
根據預設,電腦之 FQDN 的主要 DNS 尾碼部分必須與電腦所在 Active Directory 網域的名稱相同。若要允許不同的主要 DNS 尾碼,網域系統管理員可以在網域物件容器中建立 msDS-AllowedDNSSuffixes 屬性,進而建置受限制的允許尾碼清單。網域系統管理員會利用 Active?Directory 服務介面 (ADSI) 或 LDAP 來建立和管理此屬性。
SPN 為多值屬性。通常是依據主機的 DNS 名稱所建置。SPN 可用於裝載特定服務之用戶端與伺服器的相互驗證處理程序中。用戶端會根據其嘗試連接之服務的 SPN 來尋找電腦帳戶。Domain Admins 群組的成員可以修改 SPN。