Présentation de la fonctionnalité des domaines et des forêts

Windows 2000 natif

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Windows 2000 natif

Toutes les fonctionnalités Active Directory par défaut plus les fonctionnalités suivantes :

• Activation des groupes universels pour les groupes de distribution et les groupes de sécurité.
  
  
• Imbrication de groupes.
  
  
• Activation de la conversion de groupes, ce qui autorise la conversion entre les groupes de sécurité et les groupes de distribution.
  
  
• Historique SID.
  
  

Windows Server 2003

Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine Windows 2000 natif, plus les fonctionnalités suivantes :

• Disponibilité de l’outil de gestion de domaines, Netdom.exe, en vue de la préparation du changement de nom des contrôleurs de domaine.
  
  
• Mise à jour de l’horodateur d’ouverture de session. L’attribut lastLogonTimestamp est mis à jour avec l’heure de la dernière ouverture de session de l’utilisateur ou ordinateur. Cet attribut est répliqué au sein du domaine.
  
  
• Possibilité de définir l’attribut userPassword comme mot de passe efficace sur l’objet inetOrgPerson et les objets utilisateur.
  
  
• Possibilité de rediriger les conteneurs Utilisateurs et ordinateurs. Par défaut, deux conteneurs connus sont fournis pour héberger les comptes d’ordinateurs et d’utilisateurs/de groupes : cn=Computers,<racine du domaine> et cn=Users,<racine du domaine>. Cette fonctionnalité permet de définir un nouvel emplacement connu pour ces comptes.
  
  
• Possibilité pour le Gestionnaire d’autorisations de stocker ses stratégies d’autorisation dans les services AD DS.
  
  
• Délégation contrainte, ce qui permet aux applications de tirer parti de la délégation sécurisée des informations d’identification de l’utilisateur au moyen du protocole d’authentification Kerberos. Vous pouvez configurer la délégation de sorte qu’elle ne soit autorisée que pour des services de destination spécifiques.
  
  
• Prise en charge de l’authentification sélective, ce qui permet de spécifier les utilisateurs et groupes d’une forêt approuvée autorisés à s’authentifier auprès des serveurs de ressources d’une forêt d’approbation.
  
  

Windows Server 2008

Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel du domaine Windows Server 2003, plus les fonctionnalités suivantes :

• Prise en charge de la réplication du système de fichiers DFS (Distributed File System) pour SYSVOL, ce qui offre une réplication plus fiable et plus granulaire du contenu de SYSVOL.
  
  
• Prise en charge d’AES (Advanced Encryption Services) 128 et 256 pour le protocole d’authentification Kerberos.
  
  
• Informations sur la dernière ouverture de session interactive, qui affichent l’heure de la dernière ouverture de session interactive réussie d’un utilisateur, le nom de la station de travail et le nombre de tentatives d’ouverture de session ayant échoué depuis la dernière ouverture de session.
  
  
• Stratégies de mot de passe affinées, ce qui permet de spécifier les stratégies de mot de passe et de verrouillage de compte pour les utilisateurs et les groupes de sécurité globaux d’un domaine.
  
  

Windows Server 2008 R2

Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine Windows Server 2008, plus la fonctionnalité suivante :

• L’assurance du mécanisme d’authentification, qui stocke des informations sur le type de méthode d’ouverture de session (carte à puce ou nom d’utilisateur/mot de passe) utilisé pour authentifier les utilisateurs d’un domaine à l’intérieur du jeton Kerberos de chaque utilisateur. Lorsque cette fonctionnalité est activée dans un environnement réseau qui a déployé une infrastructure de gestion des identités fédérées, telle que les services AD FS (Active Directory Federation Services), les informations contenues dans le jeton peuvent être extraites à chaque fois qu’un utilisateur tente d’accéder à une application prenant en charge les revendications qui a été développée de façon à déterminer l’autorisation en fonction de la méthode d’ouverture de session d’un utilisateur.
  
  

Windows 2000 Server

Windows NT 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (par défaut)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2003

Toutes les fonctionnalités Active Directory par défaut, plus les fonctionnalités suivantes :

• Approbation de forêt.
  
  
• Changement de nom de domaine.
  
  
• Réplication de valeurs liées. Les modifications d’appartenance de groupe stockent et répliquent des valeurs pour chaque membre au lieu de répliquer l’ensemble de l’appartenance comme une seule unité. Cela permet d’utiliser moins le processeur et la bande passante réseau pendant la réplication et élimine la possibilité de perdre des mises à jour lorsque des membres différents sont ajoutés ou supprimés simultanément de différents contrôleurs de domaine.
  
  
• Possibilité de déployer un contrôleur de domaine en lecture seule (RODC) exécutant Windows Server 2008.
  
  
• Évolutivité et algorithmes du vérificateur de cohérence des données améliorés. Le générateur de topologie intersite (ISTG) utilise des algorithmes améliorés qui s’adaptent pour prendre en charge des forêts contenant un nombre de sites supérieur à celui pouvant être pris en charge par le niveau fonctionnel de forêt Windows 2000.
  
  
• Possibilité de créer des instances de la classe auxiliaire dynamique appelée dynamicObject dans une partition d’annuaire de domaine.
  
  
• Possibilité de convertir une instance d’objet inetOrgPerson en instance d’objet User, et inversement.
  
  
• Possibilité de créer des instances des nouveaux types de groupes, appelés groupes de base d’applications et groupes de requêtes LDAP (Lightweight Directory Access Protocol), pour prendre en charge l’autorisation basée sur les rôles.
  
  
• Désactivation et redéfinition des attributs et classes du schéma.
  
  

Windows Server 2008

Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2003, mais pas de fonctionnalités supplémentaires. Toutefois, tous les domaines qui sont ultérieurement ajoutés à la forêt fonctionneront par défaut au niveau fonctionnel de domaine Windows Server 2008.

Windows Server 2008 R2

Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2003, plus les fonctionnalités suivantes :

• La corbeille Active Directory, qui offre la possibilité de restaurer des objets supprimés dans leur intégralité pendant que les services de domaine Active Directory sont en cours d’exécution.
  
  

Tous les domaines qui sont ultérieurement ajoutés à la forêt fonctionneront par défaut au niveau fonctionnel de domaine Windows Server 2008 R2.

Si vous prévoyez de n’inclure que des contrôleurs de domaine exécutant Windows Server 2008 R2 dans toute la forêt, vous pouvez choisir ce niveau fonctionnel de forêt pour simplifier l’administration. De cette façon, il ne sera jamais nécessaire d’augmenter le niveau fonctionnel des domaines que vous créez dans la forêt.