Úrovně funkčnosti určují funkce služby AD DS (Active Directory Domain Services), které jsou v doméně nebo doménové struktuře povoleny. Omezují také operační systémy Windows Server, které mohou být spuštěny na řadičích domény v doméně nebo doménové struktuře. Úrovně funkčnosti ale nemají vliv na operační systémy, které mohou být spuštěny v pracovních stanicích a na členských serverech připojených k doméně nebo doménové struktuře.

Při vytváření nové domény nebo doménové struktury doporučujeme nastavit úroveň funkčnosti na nejvyšší hodnotu, kterou dané prostředí dokáže podporovat. Budete tak moci využít největší možný okruh funkcí služby AD DS. Jste-li si například jisti, že do domény či doménové struktury nebude nikdy přidán řadič domény se systémem Windows Server 2008 (nebo starším), vyberte úroveň funkčnosti Windows Server 2008 R2. Pokud je naopak možné, že zachováte nebo přidáte řadiče domény se systémem Windows Server 2008 či starším, vyberte během instalace úroveň funkčnosti Windows Server 2008. Pokud po instalaci dojde k situaci, že takové řadiče domény již nebudete používat a nebudete plánovat jejich přidání, budete moci úroveň funkčnosti zvýšit.

Při instalaci nové doménové struktury budete vyzváni k nastavení úrovně funkčnosti doménové struktury a potom k nastavení úrovně funkčnosti domény. Úroveň funkčnosti domény nelze nastavit na hodnotu nižší, než je úroveň funkčnosti doménové struktury. Nastavíte-li například úroveň funkčnosti doménové struktury na hodnotu Windows Server 2008 R2, bude možné nastavit úroveň funkčnosti domény jedině na hodnotu Windows Server 2008 R2. Hodnoty úrovní funkčnosti domény Windows 2000, Windows Server 2003 a Windows Server 2008 nebudou v průvodci na stránce Nastavit úroveň funkčnosti domény k dispozici. Všechny domény, které následně přidáte do takové doménové struktury, budou mít ve výchozím nastavení úroveň funkčnosti domény Windows Server 2008 R2.

Po nastavení úrovně funkčnosti domény na určitou hodnotu nelze tuto úroveň vrátit zpět nebo snížit, až na jednu výjimku: Pokud úroveň funkčnosti domény zvýšíte na Windows Server 2008 R2 a jestliže úroveň funkčnosti doménové struktury je Windows Server 2008 nebo nižší, máte možnost vrátit úroveň funkčnosti domény zpět na Windows Server 2008. Úroveň funkčnosti domény můžete snížit pouze z Windows Server 2008 R2 na Windows Server 2008. Pokud je úroveň funkčnosti domény nastavena na Windows Server 2008 R2, nelze ji vrátit zpět (například na Windows Server 2003).

Po nastavení úrovně funkčnosti doménové struktury na určitou hodnotu nelze tuto úroveň vrátit zpět nebo snížit, až na jednu výjimku: Pokud úroveň funkčnosti doménové struktury zvýšíte na Windows Server 2008 R2 a jestliže není povolena funkce koše služby Active Directory, máte možnost vrátit úroveň funkčnosti doménové struktury zpět na Windows Server 2008. Úroveň funkčnosti doménové struktury můžete snížit pouze z Windows Server 2008 R2 na Windows Server 2008. Pokud je úroveň funkčnosti doménové struktury nastavena na Windows Server 2008 R2, nelze ji vrátit zpět (například na Windows Server 2003).

V následující části jsou vysvětleny sady funkcí, které jsou povoleny při různých úrovních funkčnosti domény a doménové struktury.

Funkce povolené při různých úrovních funkčnosti domény

V následující tabulce jsou uvedeny povolené funkce a podporované operační systémy řadičů domény pro jednotlivé úrovně funkčnosti domény.

Úroveň funkčnosti domény Povolené funkce Podporované operační systémy řadičů domény

Nativní režim Windows 2000

Všechny výchozí funkce služby Active Directory a následující funkce:

  • Univerzální skupiny jak pro distribuční skupiny, tak pro skupiny zabezpečení

  • Vnořování skupin

  • Převod skupin, umožňující převod mezi skupinami zabezpečení a distribučními skupinami

  • Historie identifikátorů zabezpečení (SID)

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Všechny výchozí funkce služby Active Directory, všechny funkce z úrovně funkčnosti domény nativního režimu systému Windows 2000 a následující funkce:

  • Je k dispozici nástroj pro správu domén Netdom.exe, který slouží k přípravě přejmenování řadiče domény.

  • Aktualizace časového razítka přihlášení. Atribut lastLogonTimestamp bude aktualizován posledním časem přihlášení uživatele nebo počítače. Tento atribut je replikován v rámci domény. Tento atribut nemusí být aktualizován, pokud je účet ověřen řadičem domény určeným jen pro čtení.

  • Atribut userPassword může být nastaven jako účinné heslo u objektu inetOrgPerson a objektů uživatelů.

  • Kontejnery Uživatelé a Počítače mohou být přesměrovány. Ve výchozím nastavení jsou poskytovány dva známé kontejnery pro uložení účtů počítačů a uživatelských či skupinových účtů: cn=Počítače,<kořen domény> a cn=Uživatelé,<kořen domény>. Tato funkce umožňuje definovat nová známá umístění pro tyto účty.

  • Správce autorizací může zásady autorizace ukládat ve službě AD DS.

  • K dispozici je omezené delegování, které umožňuje aplikacím využívat zabezpečené delegování uživatelských pověření pomocí ověřovacího protokolu Kerberos. Delegování lze nakonfigurovat tak, aby bylo povoleno pouze u konkrétních cílových služeb.

  • Je podporováno výběrové ověření umožňující určit uživatele a skupiny z důvěryhodné doménové struktury, kteří se mohou ověřovat vůči serverům prostředků v důvěřující doménové struktuře.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Všechny výchozí funkce služby Active Directory, všechny funkce z úrovní funkčnosti domény nativního režimu systému Windows 2000 a systému Windows Server 2003 plus následující funkce:

  • Podpora služby Replikace distribuovaného systému souborů (DFSR) pro adresář SYSVOL, což poskytuje robustnější a podrobnější replikaci obsahu adresáře SYSVOL. Chcete-li použít službu Replikace distribuovaného systému souborů (DFSR) pro adresář SYSVOL, bude pravděpodobně nutné provést další kroky. Další informace naleznete v článku Souborová služba (https://go.microsoft.com/fwlink/?LinkId=93167) (stránka může být v angličtině).

  • Podpora šifrování AES 128 a 256 (Advanced Encryption Services) pro protokol Kerberos.

  • Informace o posledním interaktivním přihlášení zobrazující čas, kdy se uživatel naposledy úspěšně přihlásil (a z jaké pracovní stanice), a počet neúspěšných pokusů o přihlášení od posledního přihlášení.

  • Podrobné zásady pro hesla umožňující zadání zásad uzamykání hesel a účtů pro uživatele a globální skupiny zabezpečení v doméně.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Všechny výchozí funkce služby Active Directory, všechny funkce z úrovní funkčnosti nativního režimu systému Windows 2000, systému Windows Server 2003 a systému Windows Server 2008 plus následující funkce:

  • Záruka ověřovacího mechanismu - tato funkce vytváří balíčky informací o typu způsobu přihlášení (čipová karta nebo uživatelské jméno a heslo), který je použit k ověřování uživatelů domény uvnitř tokenu protokolu Kerberos každého uživatele. Pokud je tato funkce povolena v síťovém prostředí, ve kterém je nasazena infrastruktura federované správy identit, například služba AD FS (Active Directory Federation Services), mohou být informace z tokenu extrahovány vždy, když se uživatel pokusí o přístup k některé aplikaci pracující s deklaracemi, která byla vytvořena proto, aby určovala autorizaci na základě způsobu přihlášení uživatele.

Windows Server 2008 R2

Funkce povolené při různých úrovních funkčnosti doménové struktury

V následující tabulce jsou uvedeny povolené funkce a podporované operační systémy řadičů domény pro jednotlivé úrovně funkčnosti doménové struktury.

Úroveň funkčnosti doménové struktury

Povolené funkce

Podporované operační systémy řadičů domény

Windows 2000

Všechny výchozí funkce služby Active Directory

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Všechny výchozí funkce služby Active Directory a následující funkce:

  • Vztah důvěryhodnosti doménové struktury

  • Přejmenování domény

  • Replikace propojených hodnot (změny členství ve skupině za účelem uložení a replikace hodnot pro jednotlivé členy namísto replikace celého členství jako jediné jednotky). Výsledkem této změny je menší využití šířky pásma a procesoru během replikace a vyloučení možnosti ztráty aktualizací, pokud jsou na různých řadičích domény souběžně přidáváni a odebíráni různí členové.

  • Možnost nasazení řadiče domény jen pro čtení

  • Vylepšený algoritmus kontroly konzistence znalostí (KCC) a lepší škálovatelnost. Generátor topologie mezi lokalitami (ISTG) využívá vylepšené algoritmy s možností škálování, které podporují doménové struktury s větším počtem lokalit, než podporuje úroveň funkčnosti domény Windows 2000.

  • Možnost vytváření instancí dynamické pomocné třídy s názvem dynamicObject v oddílu adresáře domény

  • Možnost převodu instance objektu inetOrgPerson na instanci objektu User a naopak

  • Možnost vytváření instancí nových typů skupin (označovaných jako základní skupiny aplikací) a skupin dotazů LDAP (Lightweight Directory Access Protocol) pro podporu autorizace podle rolí

  • Deaktivace a opětovná definice atributů a tříd ve schématu

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Všechny funkce dostupné na úrovni funkčnosti doménové struktury Windows Server 2003, ale žádné dodatečné funkce. Všechny domény, které jsou následně přidány do doménové struktury, však budou ve výchozím nastavení provozovány na úrovni funkčnosti domény Windows Server 2008.

Pokud v celé doménové struktuře chcete mít pouze řadiče domény se systémem Windows Server 2008 nebo Windows Server 2008 R2, doporučujeme tuto funkční úroveň doménové struktury zvolit z důvodu snadnější správy.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Všechny funkce dostupné na úrovni funkčnosti doménové struktury Windows Server 2003 a následující funkce:

  • Funkce Koš, která při spuštěné službě AD DS umožňuje úplné obnovení odstraněných objektů.

Všechny domény následně přidané do doménové struktury budou ve výchozím nastavení provozovány na úrovni funkčnosti domény Windows Server 2008 R2.

Pokud v celé doménové struktuře chcete mít pouze řadiče domény se systémem Windows Server 2008 R2, doporučujeme tuto funkční úroveň doménové struktury zvolit z důvodu snadnější správy. V takovémto případě nebude nutné zvyšovat úroveň funkčnosti domén vytvářených v doménové struktuře.

Windows Server 2008 R2


Obsah