Определение функционального уровня домена или леса

Функциональные уровни определяют возможности службы AD DS (Active Directory Domain Services), доступные в домене или в лесу. Они также ограничивают версии операционных систем Windows Server, которые можно использовать на контроллерах домена в домене или в лесу. Но функциональные уровни не влияют на то, какие операционные системы могут использоваться на рабочих станциях и рядовых серверах, входящих в домен или лес.

При создании нового домена или нового леса устанавливайте максимально возможные функциональные уровни домена и леса, которые может поддерживать среда. Таким образом, можно будет пользоваться преимуществами максимального количества возможностей службы AD DS. Например, если известно, что в домен или лес никогда не будут добавлены контроллеры домена с операционной системой Windows Server 2008 (или более ранней версией), выберите режим работы Windows Server 2008 R2. С другой стороны, если существует вероятность того, что будут добавлены или оставлены контроллеры домена с операционной системой Windows Server 2008 или более ранней версией, выберите при установке режим работы Windows Server 2008. Повысить функциональный уровень можно и после установки, когда появится уверенность в том, что подобные контроллеры домена не используются и не будут добавляться.

При установке нового леса будет предложено определить функциональный уровень леса, а затем функциональный уровень домена. Нельзя определить для функционального уровня домена значение, меньшее функционального уровня леса. Например, если установлен режим работы леса Windows Server 2008 R2, можно установить только режим работы домена Windows Server 2008 R2. Режимы работы домена Windows 2000, Windows Server 2003 и Windows Server 2008 на странице мастера Задание режима работы домена будут недоступны. Кроме того, всем доменам, впоследствии добавляемым в лес, по умолчанию будет назначаться режим работы домена Windows Server 2008 R2.

После установки значения режима работы домена его нельзя отменить или понизить, за исключением следующего случая: режим работы домена повышается до Windows Server 2008 R2, а для леса установлен уровень работы Windows Windows Server 2008 или ниже. В этом случае можно восстановить режим работы домена Windows Server 2008. Режим работы домена может быть понижен только с Windows Server 2008 R2 до Windows Server 2008. Режим работы домена Windows Server 2008 R2 нельзя понизить, например, до Windows Server 2003.

После установки значения режима работы леса его нельзя отменить или понизить, за исключением следующего случая: режим работы леса повышается до Windows Server 2008 R2, а корзина Active Directory не включена. В этом случае можно восстановить режим работы леса Windows Server 2008. Режим работы леса может быть понижен только с Windows Server 2008 R2 до Windows Server 2008. Режим работы леса Windows Server 2008 R2 нельзя понизить, например, до Windows Server 2003.

В следующем разделе объясняются наборы возможностей, доступные при различных функциональных уровнях домена и леса.

Возможности, доступные на функциональных уровнях доменов

В следующей таблице перечислены доступные возможности и поддерживаемые операционные системы контроллеров домена для каждого функционального уровня домена.

Функциональный уровень домена Доступные возможности Поддерживаемые операционные системы контроллеров домена
Основной режим Windows 2000 Все стандартные возможности Active Directory, плюс следующие возможности:

  • Универсальные группы как для групп рассылки, так и для групп безопасности
  • Вложенные группы
  • Преобразование групп, позволяющее выполнять преобразование между группами рассылки и группами безопасности
  • Журнал идентификаторов безопасности
Windows 2000Windows Server 2003Windows Server 2008Windows Server 2008 R2
Windows Server 2003 Все стандартные возможности Active Directory, все возможности основного режима Windows 2000 для функционального уровня домена, плюс следующие возможности:

  • Для переименования контроллера домена доступно средство управления доменом Netdom.exe.
  • Обновление метки времени входа в систему. Атрибут lastLogonTimestamp получит значение времени последнего входа в систему пользователя или компьютера. Этот атрибут реплицируется внутри домена. Обратите внимание, что этот атрибут не может быть обновлен, если проверку подлинности учетной записи осуществляет контроллер домена только для чтения (RODC).
  • В качестве эффективного пароля для объектов inetOrgPerson и объектов пользователей может быть определен атрибут userPassword.
  • Возможно перенаправление контейнеров пользователей и компьютеров. По умолчанию предусмотрено два общеизвестных контейнера для размещения учетных записей компьютеров и пользователей/групп: cn=Computers,<корень_домена> и cn=Users,<корень_домена>. Благодаря этой возможности можно определить новое общеизвестное местонахождение этих учетных записей.
  • Диспетчер авторизации может хранить свои политики авторизации в службе AD DS.
  • Ограниченное делегирование, позволяющее приложениям использовать преимущество защищенного делегирования учетных данных пользователя с помощью протокола проверки подлинности Kerberos. Делегирование можно настроить так, чтобы оно было доступно только конкретным целевым службам.
  • Поддержка выборочной проверки подлинности, позволяющая задать пользователей и группы из доверенного леса, которым разрешено проходить проверку подлинности на серверах ресурсов доверяющего леса.
Windows Server 2003Windows Server 2008Windows Server 2008 R2
Windows Server 2008 Все стандартные компоненты Active Directory, все компоненты режимов работы домена Windows 2000 (основной) и Windows Server 2003, плюс следующие компоненты:

  • Поддержка репликации распределенной файловой системы (DFS) для SYSVOL, обеспечивающая более надежную и подробную репликацию содержимого SYSVOL. Чтобы использовать репликацию DFS для SYSVOL, может понадобиться выполнить дополнительные действия. Для получения дополнительных сведений см. описание файловых служб (http://go.microsoft.com/fwlink/?LinkId=93167).
  • Поддержка расширенных служб шифрования (AES 128 и 256) для протокола Kerberos.
  • Сведения о последнем интерактивном входе в систему, показывающие время последнего успешного входа пользователя в систему, с какого компьютера был выполнен вход, также количество неудачных попыток входа с последнего входа в систему.
  • Детальные политики паролей, позволяющие определять для пользователей и глобальных групп безопасности в домене политики блокировки учетных записей и паролей.
Windows Server 2008Windows Server 2008 R2
Windows Server 2008 R2 Все стандартные компоненты Active Directory, все компоненты режимов работы домена Windows 2000 (основной), Windows Server 2003 и Windows Server 2008, плюс следующие компоненты:

  • Контроль механизма проверки подлинности, позволяющий определить примененный пользователем метод входа в систему (смарт-карта или имя пользователя и пароль) по его токену Kerberos. Если этот компонент включен в сетевой среде, в которой развернута инфраструктура управления федеративными удостоверениями (например, службы федерации Active Directory (AD FS)), данные токена могут извлекаться при каждой попытке доступа пользователя к поддерживающим утверждения приложениям, которые предназначены для определения авторизации на основе метода, применяемого пользователем для входа в систему.
Windows Server 2008 R2

Возможности, доступные на функциональных уровнях лесов

В следующей таблице перечислены доступные возможности и поддерживаемые операционные системы контроллеров домена для каждого функционального уровня леса.

Функциональный уровень леса Доступные компоненты Поддерживаемые операционные системы контроллеров домена
Windows 2000 Все стандартные компоненты Active Directory Windows 2000Windows Server 2003Windows Server 2008Windows Server 2008 R2
Windows Server 2003 Все стандартные компоненты Active Directory, плюс следующие компоненты:

  • доверие леса;
  • переименование домена.
  • Репликация связанных значений (изменения членства в группах, чтобы сохранить и реплицировать значения для отдельных членов вместо репликации всего членства как единого блока). Это изменение приводит к уменьшению используемых пропускной способности локальной сети и ресурсов процессора при репликации, а также устраняет возможность потери обновлений при одновременном добавлении или удалении различных членов на различных контроллерах домена.
  • Возможность развертывания RODC
  • Улучшенные алгоритмы и масштабируемость проверки согласованности знаний (KCC). Генератор межсайтовой топологии (ISTG) использует улучшенные алгоритмы, масштабируемые для поддержки лесов с увеличенным количеством сайтов, чем может поддерживаться на функциональном уровне леса Windows 2000.
  • Возможность создавать экземпляры динамического вспомогательного класса dynamicObject в разделе каталога домена.
  • Возможность преобразовывать экземпляр объекта inetOrgPerson в экземпляр объекта пользователя и обратно.
  • Возможность создавать экземпляры новых типов групп, называемых базовыми группами приложений и группами запросов LDAP, для поддержки авторизации на основе ролей.
  • Деактивация и переопределение атрибутов и классов в схеме
Windows Server 2003Windows Server 2008Windows Server 2008 R2
Windows Server 2008 Все компоненты, доступные в режиме работы леса Windows Server 2003, но никакие дополнительные компоненты. Все домены, впоследствии добавленные в лес, по умолчанию будут работать с функциональным уровнем домена Windows Server 2008.Если планируется использовать во всем лесу только контроллеры домена с операционной системой Windows Server 2008 или Windows Server 2008 R2, для удобства администрирования можно выбрать этот режим работы леса. Windows Server 2008Windows Server 2008 R2
Windows Server 2008 R2 Все компоненты, доступные в режиме работы леса Windows Server 2003, плюс следующие компоненты.

  • Корзина, предназначенная для полного восстановления удаленных объектов во время работы служб AD DS.

Все домены, впоследствии добавленные в лес, по умолчанию будут работать в режиме Windows Server 2008 R2.

Если планируется использовать во всем лесу только контроллеры домена с операционной системой Windows Server 2008 R2, для удобства администрирования можно выбрать этот режим работы леса. В этом случае не понадобится повышать функциональный уровень домена ни для каких доменов, создаваемых в лесу.

Windows Server 2008 R2

Источник http://winintro.ru/ad_ds.ru/html/887e6f79-c332-4cb8-a0fe-8b5bfa2786e1.htm

 

Запись опубликована в рубрике Active Directory. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Я не спамер This plugin created by Alexei91