Los niveles funcionales determinan las características de los Servicios de dominio de Active Directory (AD DS) que están habilitadas en un dominio o bosque. También restringen los sistemas operativos Windows Server que se pueden ejecutar en los controladores de dominio del dominio o del bosque. Sin embargo, los niveles funcionales no afectan a los sistemas operativos que se pueden ejecutar en las estaciones de trabajo y los servidores miembro que están unidos al dominio o al bosque.

Cuando cree un dominio o un bosque, establezca sus niveles funcionales en los valores más altos que sabe que admite el entorno. De esta manera, podrá aprovechar las ventajas de disponer del mayor número posible de características de AD DS. Por ejemplo, si está seguro de que nunca se van a agregar al dominio o al bosque controladores de dominio que ejecuten Windows Server 2008 (o un sistema operativo anterior), seleccione el nivel funcional de Windows Server 2008 R2. Por otra parte, si existe la posibilidad de que se mantengan o agreguen controladores de dominio que ejecuten Windows Server 2008 o versiones anteriores, seleccione el nivel funcional de Windows Server 2008 durante la instalación. Puede elevar el nivel funcional tras la instalación, cuando esté seguro de que no se van a agregar ni están en uso tales controladores de dominio.

Al instalar un bosque nuevo, se le pide que establezca el nivel funcional del bosque y, después, el nivel funcional del dominio. No puede establecer el nivel funcional del dominio en un valor que sea inferior al nivel funcional del bosque. Por ejemplo, si establece el nivel funcional del bosque en Windows Server 2008 R2, sólo puede establecer el nivel funcional del dominio en Windows Server 2008 R2. Los valores de nivel funcional de dominio de Windows 2000, Windows Server 2003 y Windows Server 2008 no estarán disponibles en la página Establecer el nivel funcional del dominio del asistente. Además, todos los dominios que se agreguen posteriormente al bosque tendrán el nivel funcional de dominio de Windows Server 2008 R2 de manera predeterminada.

Después de establecer el nivel funcional del dominio en un determinado valor, no puede revertir ni bajar el nivel funcional del dominio, excepto cuando: aumenta el nivel funcional del dominio a Windows Server 2008 R2 y si el nivel funcional del bosque es Windows Windows Server 2008 o inferior, tiene la opción de revertir el nivel funcional del dominio a Windows Server 2008. Sólo puede bajar el nivel funcional del dominio de Windows Server 2008 R2 a Windows Server 2008. Si el nivel funcional de dominio está establecido en Windows Server 2008 R2, no puede revertirse, por ejemplo, a Windows Server 2003.

Después de establecer el nivel funcional del bosque en un determinado valor, no puede revertir ni bajar el nivel funcional del bosque, excepto cuando: aumenta el nivel funcional del bosque a Windows Server 2008 R2 y, si la papelera de reciclaje de Active Directory no está habilitada, tiene la opción de revertir el nivel funcional del bosque a Windows Server 2008. Sólo puede bajar el nivel funcional del bosque de Windows Server 2008 R2 a Windows Server 2008. Si el nivel funcional de bosque está establecido en Windows Server 2008 R2, no puede revertirse, por ejemplo, a Windows Server 2003.

En las secciones siguientes se explican los conjuntos de características que se habilitan en los distintos niveles funcionales de dominio y de bosque.

Características que se habilitan en los niveles funcionales de dominio

La tabla siguiente incluye las características habilitadas y los sistemas operativos de controlador de dominio admitidos para cada nivel funcional de dominio.

Nivel funcional del dominio Características habilitadas Sistemas operativos de controlador de dominio admitidos

Windows 2000 nativo

Todas las características predeterminadas de Active Directory y las características siguientes:

  • Grupos universales para grupos de distribución y de seguridad

  • Anidación de grupos

  • La conversión de grupos, que hace posible la conversión entre grupos de seguridad y grupos de distribución

  • Historial de identificadores de seguridad (SID)

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows 2000 nativo y las características siguientes:

  • La herramienta de administración de dominios, Netdom.exe, está disponible para preparar el cambio de nombre del controlador de dominio.

  • Actualización de la marca de tiempo de inicio de sesión. El atributo lastLogonTimestamp se actualizará con la hora en que el usuario o equipo inició sesión por última vez. Este atributo se replica dentro del dominio. Tenga en cuenta que es posible que este atributo no se actualice si un controlador de dominio de sólo lectura (RODC) autentica la cuenta.

  • El atributo userPassword se puede establecer como la contraseña efectiva en los objetos inetOrgPerson y los objetos de usuario.

  • Los contenedores de usuarios y equipos se pueden redirigir. De manera predeterminada, se proporcionan dos contenedores conocidos para albergar cuentas de equipo y usuario o grupo: cn=Computers,<raízDeDominio> y cn=Users,<raízDeDominio>. Con esta característica, puede definir una nueva ubicación conocida para estas cuentas.

  • El Administrador de autorización puede almacenar sus directivas de autorización en AD DS.

  • La delegación restringida, que hace posible que las aplicaciones aprovechen la delegación segura de credenciales de usuario por medio del protocolo de autenticación Kerberos. Puede configurar la delegación para que sólo se permita en servicios de destino específicos.

  • Compatibilidad con la autenticación selectiva, que hace posible especificar los usuarios y grupos de un bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque que confía.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Todas las características predeterminadas de Active Directory, todas las características de los niveles funcionales de dominio de Windows Server 2003 y nativo de Windows 2000, más las características siguientes:

  • Compatibilidad con la replicación del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicación más sólida y detallada del contenido de SYSVOL. Pueden requerirse pasos adicionales para usar la replicación DFS para SYSVOL. Para obtener más información, consulte la página acerca de los servicios de archivo (https://go.microsoft.com/fwlink/?LinkId=93167) (puede estar en inglés).

  • Compatibilidad de los Servicios de cifrado avanzado (AES 128 y 256) con el protocolo Kerberos.

  • Información acerca del último inicio de sesión interactivo, que muestra la hora del último inicio de sesión interactivo correcto de un usuario, la estación de trabajo desde la que se inició y el número de intentos de inicio de sesión erróneos desde el último inicio de sesión.

  • Directivas de contraseña muy específicas, que permiten especificar directivas de contraseña y directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Todas las características predeterminadas de Active Directory, todas las características de los niveles funcionales de Windows 2000 nativo, Windows Server 2003 y Windows Server 2008, más la característica siguiente:

  • La seguridad del mecanismo de autenticación, que empaqueta la información sobre el tipo de método de inicio de sesión (tarjeta inteligente o nombre de usuario/contraseña) empleado para autenticar a usuarios del dominio dentro del token de Kerberos de cada usuario. Si esta característica está habilitada en un entorno de red que ha implementado una infraestructura de administración de identidades federadas, como Servicios de federación de Active Directory (AD FS), la información del token se puede extraer siempre que un usuario intente obtener acceso a cualquier aplicación para notificaciones que se haya desarrollado para determinar la autorización en función del método de inicio de sesión de un usuario.

Windows Server 2008 R2

Características que se habilitan en los niveles funcionales de bosque

La tabla siguiente incluye las características habilitadas y los sistemas operativos de controlador de dominio admitidos para cada nivel funcional de bosque.

Nivel funcional del bosque

Características habilitadas

Sistemas operativos de controlador de dominio admitidos

Windows 2000

Todas las características predeterminadas de Active Directory

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Todas las características predeterminadas de Active Directory y las características siguientes:

  • Confianza de bosque

  • Cambio de nombre de dominio

  • Replicación de valor vinculado (cambios en los valores de replicación y almacenamiento de pertenencia a grupos para miembros individuales en lugar de replicación de toda la pertenencia como una sola unidad). Este cambio produce una reducción en el uso del procesador y del ancho de banda de red durante la replicación, y elimina la posibilidad de perder actualizaciones cuando se agregan o eliminan varios miembros a la vez en diferentes controladores de dominio.

  • La capacidad de implementar un RODC

  • Mejora en la escalabilidad y los algoritmos de comprobación de coherencia de la información (KCC). El generador de topología entre sitios (ISTG) usa algoritmos mejorados que se escalan para admitir bosques con un número mayor de sitios compatibles en el nivel funcional del bosque de Windows 2000.

  • La capacidad de crear instancias de la clase auxiliar dinámica denominada dynamicObject en una partición de directorio de dominio.

  • La capacidad de convertir una instancia de un objeto inetOrgPerson en una instancia de un objeto User, y viceversa.

  • La capacidad de crear instancias de los nuevos tipos de grupo, denominados grupos básicos de aplicación y grupos de consulta de Protocolo ligero de acceso a directorios (LDAP), para admitir la autorización mediante roles.

  • Desactivación y nueva definición de atributos y clases en el esquema

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Todas las características disponibles en el nivel funcional del bosque de Windows Server 2003, pero sin características adicionales. Sin embargo, todos los dominios que se agreguen posteriormente al bosque funcionarán en el nivel funcional del dominio de Windows Server 2008 de manera predeterminada.

Si tiene pensado incluir sólo controladores de dominio que ejecuten Windows Server 2008 o Windows Server 2008 R2 en todo el bosque, puede elegir este nivel funcional de bosque para facilitar la administración.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Todas las características disponibles en el nivel funcional del bosque de Windows Server 2003, más la característica siguiente:

  • La Papelera de reciclaje, que ofrece la posibilidad de restaurar objetos eliminados en su totalidad mientras está en ejecución AD DS.

Todos los dominios que se agreguen posteriormente al bosque funcionarán en el nivel funcional del dominio de Windows Server 2008 R2 de manera predeterminada.

Si tiene pensado incluir sólo controladores de dominio que ejecuten Windows Server 2008 R2 en todo el bosque, puede elegir este nivel funcional de bosque para facilitar la administración. En ese caso, nunca tendrá que elevar el nivel funcional de dominio para cada dominio que cree en el bosque.

Windows Server 2008 R2

Tabla de contenido