Tartományok és erdők működési szintje

A Windows Server® 2008 R2 Active Directory tartományi szolgáltatások (AD DS) részét képező tartományok és erdők működési szintje segítségével engedélyezheti a tartományszintű szolgáltatásokat és az erdőszintű Active Directory-szolgáltatásokat a hálózati környezetben. A tartományok és erdők működése a hálózati környezettől függően több szintű lehet.

Ha a tartományban vagy az erdőben található összes tartományvezérlő Windows Server 2008 R2 rendszerrel működik, és a tartomány és erdő működési szintje Windows Server 2008 R2, az összes tartományszintű és erdőszintű szolgáltatás használható. Ha a tartományban vagy erdőben van Windows® 2000, Windows Server 2003 vagy Windows Server 2008 rendszerű tartományvezérlő, az Active Directory szolgáltatásai korlátozottak. A tartományszintű és az erdőszintű szolgáltatások engedélyezésével kapcsolatos további információt a Tartomány működési szintjének emelése és az Erdő működési szintjének emelése című témakörben talál.

Tartományok működési szintje

A tartományok működési szintje az egész tartományt és csak az adott tartományt érintő szolgáltatások engedélyezésére szolgál. A Windows Server 2008 R2 Active Directory tartományi szolgáltatásokban az alábbi négy tartományi működési szint áll rendelkezésre: Windows 2000 natív, Windows Server 2003 (alapértelmezett), Windows Server 2008 és Windows Server 2008 R2.

Az alábbi táblázatban a tartományok működési szintje és a támogatott tartományvezérlők találhatók:

Tartomány működési szintje Támogatott tartományvezérlők

Windows 2000 natív

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Ha megemeli a tartomány működési szintjét, a korábbi operációs rendszerrel működő tartományvezérlők nem használhatók a tartományban. Ha például a tartomány működési szintjét Windows Server 2008 R2 értékre emeli, Windows Server 2008 rendszerrel működő tartományvezérlőt nem adhat a tartományhoz.

Az alábbi táblázatban a tartományi szintű szolgáltatások láthatók, amelyek engedélyezve vannak a Windows Server 2008 R2 Active Directory tartományi szolgáltatásokat használó tartományok működési szintjein.

Tartomány működési szintje Engedélyezett szolgáltatások

Windows 2000 natív

Az Active Directory összes alapértelmezett szolgáltatása és a következők:

  • Az univerzális csoportok a terjesztési csoportok és a biztonsági csoportok esetében is engedélyezve vannak.

  • Csoport beágyazása

  • A csoport konvertálása engedélyezve van, amely lehetővé teszi a konverziót a biztonsági csoportok és a terjesztési csoportok között.

  • Biztonsági azonosító előzményei

Windows Server 2003

Az Active Directory összes alapértelmezett szolgáltatása, a Windows 2000 natív tartomány működési szintjének összes szolgáltatása, valamint az alábbi szolgáltatások:

  • Tartománykezelő eszköz (Netdom.exe) a tartományvezérlő átnevezésének előkészítéséhez

  • A bejelentkezési időbélyegző módosítása A lastLogonTimestamp attribútumot a rendszer a felhasználóhoz vagy a számítógéphez tartozó utolsó bejelentkezési időpontra módosítja. Az attribútumot a rendszer a tartományon belül replikálja.

  • A userPassword attribútum beállítható az inetOrgPerson objektum és a felhasználói objektumok érvényes jelszavaként.

  • A Felhasználók és számítógépek tárolói átirányíthatók. Két jól ismert tároló áll rendelkezésre a számítógép és a felhasználók vagy csoportok fiókjainak tárolásához: cn=Computers,<tartomány gyökere> és cn=Users <tartomány gyökere>. A szolgáltatással új jól ismert helyet definiálhat a fiókokhoz.

  • Az Engedélyezéskezelő az engedélyezési házirendeket az Active Directory tartományi szolgáltatásokban tárolja.

  • A korlátozott delegálás segítségével az alkalmazások a Kerberos hitelesítési protokoll eszközeinek használatával kihasználhatják a felhasználói hitelesítő adatok biztonságos delegálásának előnyeit. A delegálást beállíthatja úgy, hogy csak adott célszolgáltatásokra legyen engedélyezve.

  • A szelektív hitelesítés támogatott, amelynek segítségével megadhatja a megbízható erdő felhasználóit és csoportjait, akik hitelesíthetik a megbízó erdő erőforrás-kiszolgálóit.

Windows Server 2008

Az Active Directory összes alapértelmezett szolgáltatása, a Windows Server 2003 tartomány működési szintjének összes szolgáltatása, valamint az alábbi szolgáltatások:

  • Az elosztott fájlrendszer replikációs szolgáltatása támogatott a rendszerköteten, amely a rendszerkötet tartalmának megbízhatóbb és részletesebb replikálását teszi lehetővé.

  • Speciális titkosítási szolgáltatások (AES 128 és 256) támogatása a Kerberos hitelesítési protokollhoz

  • Utolsó interaktív bejelentkezés adatai: megjeleníti a felhasználó utolsó sikeres interaktív bejelentkezésének időpontját, a bejelentkezéshez használt munkaállomást, valamint a legutolsó bejelentkezés óta végrehajtott sikertelen kísérletek számát.

  • Minden részletre kiterjedő jelszóházirend: a segítségével jelszóházirendek és fiókzárolási házirendek adhatók meg a tartományhoz tartozó felhasználókhoz és globális biztonsági csoportokhoz.

Windows Server 2008 R2

Az Active Directory összes alapértelmezett szolgáltatása, a Windows Server 2008 tartomány működési szintjének összes szolgáltatása, valamint az alábbi szolgáltatások:

  • Hitelesítési mechanizmus biztosítása, amely csomagolja a bejelentkezési módszer típusával (intelligens kártya vagy felhasználónév és jelszó) kapcsolatos információkat. Ezek segítségével történik a tartomány felhasználóinak hitelesítése az egyes felhasználók Kerberos jogkivonatában. Ha ez a szolgáltatás olyan hálózati környezetben engedélyezett, amely összevont identitáskezelési infrastruktúrával rendelkezik (mint például az Active Directory összevonási szolgáltatások), a jogkivonatban lévő adatok kibonthatók, amikor a felhasználó olyan jogcímbarát alkalmazáshoz próbál hozzáférni, amelynek feladata a jogosultság megállapítása a felhasználói bejelentkezési módja alapján.

Erdők működési szintje

Az erdők működési szintjén az erdőhöz tartozó összes tartományra vonatkozó szolgáltatások engedélyezhetők. A Windows Server 2008 R2 operációs rendszerben az erdők az alábbi négy működési szinttel rendelkezhetnek: Windows 2000, Windows Server 2003 (alapértelmezett), Windows Server 2008 és Windows Server 2008 R2.

Az alábbi táblázatban az erdők Windows Server 2008 R2 operációs rendszerben rendelkezésre álló működési szintjei és a támogatott tartományvezérlők találhatók:

Erdő működési szintje Támogatott tartományvezérlők

Windows 2000

Windows NT® 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (alapértelmezett)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Ha megemeli az erdő működési szintjét, a korábbi operációs rendszerrel működő tartományvezérlők nem használhatók az erdőben. Ha például az erdő működési szintjét Windows Server 2008 R2 értékre lépteti elő, a Windows Server 2008 rendszerrel működő tartományvezérlők nem adhatók az erdőhöz.

Az alábbi táblázatban a Windows Server 2003, a Windows Server 2008 és a Windows Server 2008 R2 működési szinten engedélyezett erdőszintű szolgáltatások leírását találja.

Erdő működési szintje Engedélyezett szolgáltatások

Windows Server 2003

Az Active Directory összes alapértelmezett szolgáltatása és a következők:

  • Erdőszintű bizalmi kapcsolatok

  • Tartomány átnevezése

  • Csatolt érték replikálása (módosítja a csoporttagság tárolt értékeit, és az egyes tagok értékeit külön replikálja, nem pedig a teljes tagságot egy egységként). Ennek eredményeként a számítógép kisebb hálózati sávszélességet és kevesebb processzoridőt használ, illetve csökken az elveszett frissítések lehetősége, amely abból adódhat, hogy a tagokat párhuzamosan adják hozzá vagy távolítják el a különböző tartományvezérlőkön.

  • Windows Server 2008 rendszerrel működő írásvédett tartományvezérlő telepítése

  • Továbbfejlesztett tudáskonzisztencia-ellenőrző (KCC) algoritmusok és méretezhetőség. A helyközi topológiagenerátor (ISTG) továbbfejlesztett algoritmusai a méretezhetőség révén támogatják a több helyet tartalmazó erdőket, így azok a Windows 2000 működési szinten is támogatottak.

  • A tartományi címpartíción létrehozhatók a dynamicObject dinamikus kiegészítő osztály példányai.

  • Az inetOrgPerson objektumpéldányai a User objektumpéldánnyá konvertálhatók és fordítva.

  • Létrehozható az új csoporttípusok (alapvető alkalmazáscsoportok) és az LDAP-lekérdezéscsoport példányai a szerepkörökre épülő hitelesítés támogatásához.

  • A sémához tartozó attribútumok és osztályok deaktiválása és újradefiniálása

Windows Server 2008

Ezen a működési szinten a Windows Server 2003 működési szint összes szolgáltatása használható, és továbbiak nem. Az erdőhöz később hozzáadott tartományok azonban alapértelmezés szerint a Windows Server 2008 tartományi működési szinten működnek.

Windows Server 2008 R2

A Windows Server 2003 erdő működési szintjén elérhető összes szolgáltatás használható, valamint a következő szolgáltatások:

  • Active Directory Lomtár, melynek segítségével teljes egészében visszaállíthatók a törölt objektumok, ha az Active Directory tartományi szolgáltatások aktív.

Az erdőhöz később hozzáadott tartományok alapértelmezés szerint a Windows Server 2008 R2 tartományi működési szinten működnek.

Ha kizárólag olyan tartományvezérlőket kíván telepíteni, amelyek az egész erdőben Windows Server 2008 R2 rendszert használnak, kényelmi okokból érdemes ezt a működési szintet választania az erdőhöz. Ezáltal soha nem kell emelnie az erdőben létrehozott egyes tartományok működési szintjét.

További hivatkozások

Tartalom