Каждый компьютер под управлением Windows NT, Windows 2000, Windows XP, Windows Vista или сервер под управлением Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2, входящий в состав домена, имеет учетную запись компьютера. Как и учетные записи пользователей, учетные записи компьютеров являются средством проверки подлинности и аудита доступа к сети и доменным ресурсам. Каждая учетная запись компьютера должна быть уникальной.
Примечание | |
Компьютеры, работающие под управлением Windows 95 и Windows 98, не имеют возможностей повышенной безопасности. Поэтому им не назначаются учетные записи компьютеров. |
С помощью консоли «Active Directory - пользователи и компьютеры» можно добавлять, отключать, переустанавливать и удалять учетные записи пользователей и компьютеров. Учетную запись компьютера также можно создать при включении компьютера в домен.
Если для домена задан режим работы Windows Server 2008 или Windows Server 2008 R2, для отслеживания времени последнего входа в систему учетной записи пользователя или компьютера используется новый атрибут lastLogonTimestamp. Этот атрибут реплицируется внутри домена и может предоставить важные сведения по истории пользователя или компьютера.
Общее представление об именах компьютеров
Каждая учетная запись компьютера, которая создается в доменных службах Active Directory, имеет относительное различающееся имя, имя компьютера для операционных систем до Windows 2000 (имя учетной записи диспетчера учетных записей безопасности (SAM)), основной суффикс системы доменных имен (DNS), имя узла DNS и имя участника-службы (SPN). Администратор вводит имя компьютера при создании его учетной записи. Это имя компьютера используется как относительное различающееся имя протокола LDAP.
Доменные службы Active Directory предлагают имя для операционных систем до Windows 2000, которое использует первые 15 байт относительного различающегося имени. Администратор может в любой момент изменить имя для операционных систем до Windows 2000.
DNS-имя узла называется полным именем компьютера. Это полное доменное DNS-имя (FQDN). Полное имя компьютера - это объединение имени компьютера (первые 15 байт имени учетной записи SAM компьютера без символа «$») и основного DNS-суффикса (DNS-имя домена, в котором существует эта учетная запись компьютера).
По умолчанию часть основного DNS-суффикса FQDN компьютера должна совпадать с именем домена Active Directory, в котором находится компьютер. Чтобы разрешить другие основные DNS-суффиксы, администратор домена может составить ограниченный список разрешенных суффиксов, создав атрибут msDS-AllowedDNSSuffixes в контейнере объекта домена. Администратор домена создает этот атрибут и управляет им с помощью интерфейсов ADSI (интерфейсы служб Active Directory) или LDAP.
SPN является атрибутом с несколькими значениями. Он обычно создается на основе DNS-имени узла. SPN используется в процессе взаимной проверки подлинности клиентом и сервером, на котором размещена определенная служба. Клиент находит учетную запись компьютера, основываясь на SPN службы, к которой он пытается подключиться. Члены группы «Администраторы домена» могут изменять SPN.