Jeder Computer unter Windows NT, Windows 2000, Windows XP oder Windows Vista oder jeder Server unter Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2, der einer Domäne hinzugefügt wird, verfügt über ein Computerkonto. Genau wie Benutzerkonten bieten Computerkonten eine Möglichkeit zur Authentifizierung und Überwachung des Zugriffs auf das Netzwerk und auf Domänenressourcen. Jedes Computerkonto muss eindeutig sein.

Hinweis

Computer unter Windows 95 und Windows 98 verfügen über keine erweiterten Sicherheitsfeatures. Daher sind ihnen keine Computerkonten zugewiesen.

Sie können Benutzer- und Computerkonten mit dem Active Directory-Benutzer und -Computer-Snap-In hinzufügen, deaktivieren, zurücksetzen und löschen. Sie können auch ein Computerkonto erstellen, wenn Sie einer Domäne einen Computer hinzufügen.

Wenn die Domänenfunktionsebene auf Windows Server 2008 oder Windows Server 2008 R2 festgelegt ist, wird ein neues lastLogonTimestamp-Attribut verwendet, um die Uhrzeit der letzten Anmeldung eines Benutzer- oder Computerkontos nachzuverfolgen. Dieses Attribut wird innerhalb der Domäne repliziert und kann wichtige Informationen zu einem Benutzer oder Computer bieten.

Grundlegendes zu Computernamen

Jedes in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) erstellte Computerkonto verfügt über einen relativen definierten Namen (Relative Distinguished Name, RDN), einen Prä-Windows 2000-Computernamen (SAM-Kontoname), ein primäres DNS-Suffix (Domain Name System), einen DNS-Hostnamen und einen Dienstprinzipalnamen (Service Principal Name, SPN). Der Administrator gibt den Computernamen ein, wenn das Computerkonto erstellt wird. Der Computername wird als relativer definierter LDAP-Name (Lightweight Directory Access Protocol) verwendet.

In AD DS wird der Prä-Windows 2000-Name unter Verwendung der ersten 15 Byte des relativen definierten Namens empfohlen. Der Administrator kann den Prä-Windows 2000-Namen jederzeit ändern.

Der DNS-Name für einen Host wird als vollständiger Computername bezeichnet. Dabei handelt es sich um einen DNS-FQDN (Fully Qualified Domain Name, vollqualifizierter Domänenname). Der vollständige Computername besteht aus einer Verkettung des Computernamens (die ersten 15 Byte des SAM-Kontonamens des Computerkontos ohne das Zeichen "$") und des primären DNS-Suffixes (der DNS-Domänenname der Domäne mit dem Computerkonto).

Standardmäßig muss der primäre DNS-Suffixteil des FQDN für einen Computer dem Namen der Active Directory-Domäne entsprechen, in der sich der Computer befindet. Damit verschiedene primäre DNS-Suffixe zugelassen werden, können Domänenadministratoren eine eingeschränkte Liste zulässiger Suffixe erstellen, indem sie das msDS-AllowedDNSSuffixes-Attribut im Domänenobjektcontainer erstellen. Der Domänenadministrator erstellt und verwaltet dieses Attribut mit ADSI (Active Directory Service Interfaces) oder LDAP.

Der SPN ist ein mehrwertiges Attribut. Er wird im Allgemeinen aus dem DNS-Namen des Hosts erstellt. Der SPN wird für die gegenseitige Authentifizierung des Clients und des Servers verwendet, der der Host eines bestimmten Diensts ist. Der Client sucht ein Computerkonto auf der Grundlage des SPN des Diensts, mit dem eine Verbindung hergestellt wird. Der SPN kann von Mitgliedern der Gruppe Domänen-Admins geändert werden.

Weitere Verweise


Inhaltsverzeichnis