Каждому из входящих в домен компьютеров под управлением операционной системы Windows NT, Windows 2000, Windows XP, Windows Vista® или Windows 7 либо серверов с операционной системой Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2 соответствует учетная запись компьютера. Как и учетные записи пользователей, учетные записи компьютеров являются средством проверки подлинности и аудита доступа к сети и доменным ресурсам. Каждая учетная запись компьютера должна быть уникальной.
|
Примечание |
|
Для компьютеров, работающих под управлением ОС Windows 95 и Windows 98, расширенные возможности безопасности недоступны. Поэтому им не назначаются учетные записи компьютеров. |
Для добавления, перемещения, переустановки, отключения, включения и удаления учетных записей компьютеров можно использовать оснастку «Центр администрирования Active Directory». Учетную запись компьютера также можно создать при присоединении компьютера к домену.
Если домен работает в режиме Windows Server 2008 или Windows Server 2008 R2, то для отслеживания времени последнего входа в систему учетной записи пользователя или компьютера используется атрибут lastLogonTimestamp. Этот атрибут реплицируется внутри домена и может предоставить важные сведения по истории пользователя или компьютера.
Основные сведения об именах компьютеров
Каждая учетная запись компьютера, создаваемая в доменных службах Active Directory, использует относительное различающееся имя (также называемое RDN), имя компьютера для операционных систем до Windows 2000 (то есть имя учетной записи диспетчера учетных записей безопасности (SAM)), основной суффикс системы доменных имен (DNS), имя узла DNS и имя участника-службы (SPN). Администратор вводит имя компьютера при создании его учетной записи. Это имя компьютера используется как относительное различающееся имя протокола LDAP.
Доменные службы Active Directory предлагают имя для операционных систем до Windows 2000, которое использует первые 15 байт относительного различающегося имени. Это имя для систем, предшествующих Windows 2000, можно в любой момент изменить.
DNS-имя узла называется полным именем компьютера. Это полное доменное DNS-имя (FQDN). Полное имя компьютера представляет собой объединение имени компьютера (первые 15 байт имени учетной записи диспетчера учетных записей безопасности компьютера без символа «$») и основного DNS-суффикса (DNS-имя домена, в котором существует эта учетная запись компьютера), например computer1.contoso.com.
По умолчанию часть основного DNS-суффикса полного доменного имени компьютера должна совпадать с именем домена Active Directory, к которому принадлежит компьютер. Чтобы разрешить другие основные DNS-суффиксы, администратор домена может составить ограниченный список разрешенных суффиксов, создав атрибут msDS-AllowedDNSSuffixes в контейнере объекта домена. Администратор домена создает этот атрибут и управляет им с помощью интерфейсов ADSI (интерфейсы служб Active Directory) или LDAP.
Имя участника-службы является атрибутом с несколькими значениями. Оно обычно создается на основе DNS-имени узла. Имя участника-службы используется в процессе взаимной проверки подлинности клиентом и сервером, на котором размещена конкретная служба. Клиент находит учетную запись компьютера, основываясь на имени участника-службы той службы, к которой он пытается подключиться. Члены группы «Администраторы домена» могут изменять имена участников-служб.