Computerkonten

Die in Active Directory erstellten Computerkonten besitzen je einen relativ definierten Namen (RDN), ein primäres DNS-Suffix, einen DNS-Hostnamen sowie einen Dienstprinzipalnamen (Service Principal Name, SPN). Beim Anlegen des Computerkontos gibt der Administrator den Computernamen ein. Dieser Computername dient als relativ definierter LDAP-Name (Lightweight Directory Access Protocol).

Active Directory schlägt einen Namen vor, bestehend aus den ersten 15 Byte des relativ definierten Namens. Der Anmeldename kann jederzeit durch die Administratoren geändert werden.

Der DNS-Name für einen Host wird als vollständiger Computername bezeichnet und stellt einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) von DNS dar. Der vollständige Computername setzt sich aus dem Computernamen (die ersten 15 Bytes des SAM-Kontonamens des Computerkontos ohne das Zeichen "$") und dem primären DNS-Suffix (der DNS-Domänenname der Domäne, in der das Computerkonto vorhanden ist) zusammen. Er ist in der Systemsteuerung unter Systemeigenschaften auf der Registerkarte Computername aufgeführt.

Der Anteil des primären DNS-Suffixes des FQDN für einen Computer muss standardmäßig mit dem Namen der Active Directory-Domäne, der der Computer angehört, identisch sein. Damit verschiedene primäre DNS-Suffix zulässig sind, kann ein Domänenadministrator eine eingeschränkte Liste zulässiger Suffixe erstellen. Zu diesem Zweck erstellt der Administrator das msDS-AllowedDNSSuffixes-Attribut im Domänenobjektcontainer. Dieses Attribut wird vom Domänenadministrator mithilfe von ADSI (Active Directory Service Interfaces) oder LDAP (Lightweight Directory Access Protocol) erstellt und verwaltet.

Der Dienstprinzipalname ist ein mehrwertiges Attribut. Er wird gewöhnlich vom DNS-Namen des Hosts abgeleitet. Der Dienstprinzipalname wird bei der gegenseitigen Authentifizierung zwischen einem Client und einem Server verwendet, auf dem sich ein bestimmter Dienst befindet. Bei der Suche nach einem Computerkonto verwendet der Client den Dienstprinzipalnamen des gewünschten Dienstes, mit dem die Verbindung hergestellt werden soll.
Der Dienstprinzipalname kann von Mitgliedern der Gruppe Administratoren geändert werden.