Les niveaux fonctionnels déterminent les fonctionnalités des services de domaine Active Directory (AD DS) qui sont activées dans un domaine ou une forêt. Ils limitent également les systèmes d’exploitation Windows Server qui peuvent s’exécuter sur les contrôleurs de domaine du domaine ou de la forêt. Par contre, les niveaux fonctionnels n’ont aucune incidence sur les systèmes d’exploitation qui peuvent s’exécuter sur les stations de travail et les serveurs membres joints au domaine ou à la forêt.

Lorsque vous créez un nouveau domaine ou une nouvelle forêt, spécifiez le plus haut niveau fonctionnel de domaine et de forêt que votre environnement puisse prendre en charge. De cette façon, vous pourrez tirer parti du plus grand nombre de fonctionnalités AD DS possible. Par exemple, si vous êtes sûr qu’aucun contrôleur de domaine exécutant Windows Server 2008 (ou un système d’exploitation antérieur) ne sera jamais ajouté au domaine ou à la forêt, sélectionnez le niveau fonctionnel Windows Server 2008 R2. Par contre, si vous êtes susceptible de conserver ou d’ajouter des contrôleurs de domaine exécutant Windows Server 2008 ou version antérieure, sélectionnez le niveau fonctionnel Windows Server 2008 lors de l’installation. Vous pouvez augmenter le niveau fonctionnel après l’installation, à partir du moment où vous êtes sûr qu’aucun contrôleur de domaine de ce type n’est encore utilisé ou ne sera ajouté.

Lorsque vous installez une nouvelle forêt, il vous est demandé de définir le niveau fonctionnel de la forêt, puis le niveau fonctionnel du domaine. Vous ne pouvez pas définir un niveau fonctionnel de domaine inférieur à celui de la forêt. Par exemple, si vous définissez le niveau fonctionnel de la forêt sur Windows Server 2008 R2, vous ne pouvez définir le niveau fonctionnel du domaine que sur Windows Server 2008 R2. Les valeurs de niveau fonctionnel de domaine Windows 2000, Windows Server 2003 et Windows Server 2008 ne seront pas disponibles dans la page Définir le niveau fonctionnel du domaine de l’Assistant. En outre, tous les domaines que vous ajoutez par la suite à cette forêt auront par défaut le niveau fonctionnel de domaine Windows Server 2008 R2.

Une fois que vous avez défini le niveau fonctionnel de domaine à une certaine valeur, vous ne pouvez pas revenir en arrière ni abaisser le niveau fonctionnel de domaine, à une exception près : lorsque vous augmentez le niveau fonctionnel de domaine à Windows Server 2008 R2 et que le niveau fonctionnel de la forêt est Windows Windows Server 2008 ou antérieur, vous avez la possibilité de rétablir le niveau fonctionnel de domaine à Windows Server 2008. Vous pouvez abaisser le niveau fonctionnel de domaine uniquement à partir de Windows Server 2008 R2 ou Windows Server 2008. Si le niveau fonctionnel de domaine a la valeur Windows Server 2008 R2, il est impossible de revenir à un niveau antérieur, par exemple Windows Server 2003.

Une fois que vous avez défini le niveau fonctionnel de la forêt à une certaine valeur, vous ne pouvez pas revenir en arrière ni abaisser le niveau fonctionnel de la forêt, à une exception près : lorsque vous augmentez le niveau fonctionnel de la forêt à Windows Server 2008 R2 et que la Corbeille Active Directory n’est pas activée, vous avez la possibilité de rétablir le niveau fonctionnel de la forêt à Windows Server 2008. Vous pouvez abaisser le niveau fonctionnel de la forêt uniquement à partir de Windows Server 2008 R2 ou Windows Server 2008. Si le niveau fonctionnel de la forêt a la valeur Windows Server 2008 R2, il est impossible de revenir à un niveau antérieur, par exemple Windows Server 2003.

Les sections suivantes décrivent les ensembles de fonctionnalités qui sont activés pour les différents niveaux fonctionnels de domaine et de forêt.

Fonctionnalités activées pour les différents niveaux fonctionnels de domaine

Le tableau suivant répertorie les fonctionnalités qui sont activées et les systèmes d’exploitation de contrôleur de domaine qui sont pris en charge pour chaque niveau fonctionnel de domaine.

Niveau fonctionnel de domaine Fonctionnalités activées Systèmes d’exploitation de contrôleur de domaine pris en charge

Windows 2000 natif

Toutes les fonctionnalités Active Directory par défaut, plus les fonctionnalités suivantes :

  • groupes universels pour les groupes de distribution et les groupes de sécurité ;

  • imbrication de groupes ;

  • conversion de groupes, ce qui permet la conversion entre les groupes de sécurité et les groupes de distribution ;

  • historique d’identificateur de sécurité (SID).

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine Windows 2000 natif, plus les fonctionnalités suivantes :

  • Disponibilité de l’outil de gestion de domaines, Netdom.exe, pour préparer le changement de nom des contrôleurs de domaine.

  • Mise à jour de l’horodateur d’ouverture de session. L’attribut lastLogonTimestamp est mis à jour avec l’heure de la dernière ouverture de session de l’utilisateur ou de l’ordinateur. Cet attribut est répliqué au sein du domaine. Notez que cet attribut peut ne pas être mis à jour si un contrôleur de domaine en lecture seule authentifie le compte.

  • Possibilité de définir l’attribut userPassword en tant que mot de passe effectif sur les objets inetOrgPerson et les objets Utilisateur.

  • Possibilité de rediriger les conteneurs Utilisateurs et Ordinateurs. Par défaut, deux conteneurs connus sont fournis pour héberger les comptes d’ordinateurs et d’utilisateurs/de groupes : cn=Computers,<racine du domaine> et cn=Users,<racine du domaine>. Grâce à cette fonctionnalité, vous pouvez définir un nouvel emplacement connu pour ces comptes.

  • Possibilité pour le Gestionnaire d’autorisations de stocker ses stratégies d’autorisation dans les services AD DS.

  • Délégation contrainte, ce qui permet aux applications de tirer parti de la délégation sécurisée des informations d’identification de l’utilisateur au moyen du protocole d’authentification Kerberos. Vous pouvez configurer la délégation de sorte qu’elle ne soit autorisée que pour des services de destination spécifiques.

  • Prise en charge de l’authentification sélective, ce qui permet de spécifier les utilisateurs et groupes d’une forêt approuvée qui sont autorisés à s’authentifier auprès des serveurs de ressources d’une forêt d’approbation.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités des niveaux fonctionnels de domaine Windows 2000 natif et Windows Server 2003, plus les fonctionnalités suivantes :

  • Prise en charge de la réplication du système de fichiers DFS (Distributed File System) pour SYSVOL, ce qui offre une réplication plus fiable et plus granulaire du contenu de SYSVOL. Il peut être nécessaire d’effectuer des opérations supplémentaires pour utiliser la réplication DFS pour SYSVOL. Pour plus d’informations, voir l’article consacré aux services de fichiers (https://go.microsoft.com/fwlink/?LinkId=93167) (éventuellement en anglais).

  • Prise en charge d’AES (Advanced Encryption Services) 128 et 256 pour le protocole Kerberos.

  • Informations sur la dernière ouverture de session interactive qui indiquent l’heure de la dernière ouverture de session interactive réussie d’un utilisateur, le nom de la station de travail et le nombre de tentatives d’ouverture de session ayant échoué depuis la dernière ouverture de session.

  • Stratégies de mot de passe affinées, ce qui permet de spécifier les stratégies de mot de passe et de verrouillage de compte pour les utilisateurs et les groupes de sécurité globaux d’un domaine.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités des niveaux fonctionnels de domaine Windows 2000 natif, Windows Server 2003 et Windows Server 2008, plus la fonctionnalité suivante :

  • assurance de mécanisme d’authentification, qui empaquète les informations relatives au type de méthode d’ouverture de session (carte à puce ou nom d’utilisateur/mot de passe) utilisé pour authentifier les utilisateurs du domaine à l’intérieur du jeton Kerberos de chaque utilisateur. Lorsque cette fonctionnalité est activée dans un environnement réseau où une infrastructure de gestion d’identités fédérées est déployée, telle que les services ADFS (Active Directory Federation Services), les informations du jeton peuvent ensuite être extraites chaque fois qu’un utilisateur tente d’accéder à une application prenant en charge les revendications qui a été développée de façon à déterminer l’autorisation sur la base de la méthode d’ouverture de session d’un utilisateur.

Windows Server 2008 R2

Fonctionnalités activées pour les différents niveaux fonctionnels de forêt

Le tableau suivant répertorie les fonctionnalités qui sont activées et les systèmes d’exploitation de contrôleur de domaine qui sont pris en charge pour chaque niveau fonctionnel de forêt.

Niveau fonctionnel de forêt

Fonctionnalités activées

Systèmes d’exploitation de contrôleur de domaine pris en charge

Windows 2000

Toutes les fonctionnalités Active Directory par défaut

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Toutes les fonctionnalités Active Directory par défaut, plus les fonctionnalités suivantes :

  • Approbation de forêt

  • Changement de nom de domaine

  • Réplication de valeurs liées (modifications d’appartenance de groupe pour stocker et répliquer des valeurs pour chaque membre au lieu de répliquer l’ensemble de l’appartenance comme une seule unité) Cela permet de moins utiliser le processeur et la bande passante réseau pendant la réplication et d’éliminer le risque de perdre des mises à jour lorsque des membres différents sont ajoutés ou supprimés simultanément de différents contrôleurs de domaine.

  • Possibilité de déployer un contrôleur de domaine en lecture seule

  • Évolutivité et algorithmes du vérificateur de cohérence des données améliorés. Le générateur de topologie intersite (ISTG) utilise des algorithmes améliorés qui s’adaptent pour prendre en charge des forêts contenant un nombre de sites supérieur à celui pouvant être pris en charge par le niveau fonctionnel de forêt Windows 2000.

  • Possibilité de créer des instances de la classe auxiliaire dynamique appelée dynamicObject dans une partition d’annuaire de domaine

  • Possibilité de convertir une instance d’objet inetOrgPerson en instance d’objet User, et inversement

  • Possibilité de créer des instances des nouveaux types de groupes, appelés groupes de base d’applications et groupes de requêtes LDAP (Lightweight Directory Access Protocol), pour prendre en charge l’autorisation basée sur les rôles

  • Désactivation et redéfinition des attributs et classes du schéma

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2003, mais pas de fonctionnalités supplémentaires. Toutefois, tous les domaines qui sont ultérieurement ajoutés à la forêt fonctionneront par défaut au niveau fonctionnel de domaine Windows Server 2008.

Si vous prévoyez de n’inclure que des contrôleurs de domaine exécutant Windows Server 2008 ou Windows Server 2008 R2 dans toute la forêt, vous pouvez choisir ce niveau fonctionnel de forêt pour simplifier l’administration.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2003, plus la fonctionnalité suivante :

  • Corbeille, qui permet de restaurer des objets supprimés en intégralité durant l’exécution des services AD DS.

Tous les domaines qui sont ultérieurement ajoutés à la forêt fonctionneront par défaut au niveau fonctionnel de domaine Windows Server 2008 R2.

Si vous prévoyez de n’inclure que des contrôleurs de domaine exécutant Windows Server 2008 R2 dans toute la forêt, vous pouvez choisir ce niveau fonctionnel de forêt pour simplifier l’administration. De cette façon, il ne sera jamais nécessaire d’augmenter le niveau fonctionnel des domaines que vous créez dans la forêt.

Windows Server 2008 R2

Table des matières