Tartományok és erdők működési szintje

A tartományok és erdők működési szintjének beállítása, mely a Windows Server 2008 R2 Active Directory tartományi szolgáltatásokban (AD DS) áll rendelkezésre, lehetőséget ad tartományszintű és erdőszintű Active Directory-szolgáltatások biztosítására a hálózati környezetben. A tartományok és erdők működése a hálózati környezettől függően több szintű lehet.

Ha a tartományban vagy az erdőben található összes tartományvezérlő Windows Server 2008 R2 rendszerrel működik, és a tartományok és erdők működési szintje Windows Server 2008 R2, akkor az összes tartományszintű és erdőszintű szolgáltatás rendelkezésre áll. Ha a tartományban vagy erdőben van Windows 2000, Windows Server 2003 vagy Windows Server 2008 rendszerű tartományvezérlő, az Active Directory szolgáltatásai korlátozottak. A tartományszintű és az erdőszintű szolgáltatások engedélyezésével kapcsolatban a Tartomány működési szintjének előléptetése és az Erdő működési szintjének előléptetése című témakörben talál további információt.

Tartományok működési szintje

A tartományok működési szintje az egész tartományt és csak az adott tartományt érintő szolgáltatások engedélyezésére szolgál. A Windows Server 2008 R2 Active Directory tartományi szolgáltatásokban az alábbi négy tartományi működési szint áll rendelkezésre: Windows 2000 natív, Windows Server 2003 (alapértelmezett), Windows Server 2008 és Windows Server 2008 R2.

Az alábbi táblázat a tartományok működési szintjeit és a nekik megfelelő támogatott tartományvezérlőket ismerteti:

Tartomány működési szintje Támogatott tartományvezérlők

Windows 2000 natív

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Amikor megemeli a tartomány működési szintjét, a korábbi operációs rendszerrel működő tartományvezérlők nem adhatók a tartományhoz. Ha például a tartomány működési szintjét Windows Server 2008 R2 értékre emeli, Windows Server 2008 rendszerrel működő tartományvezérlőt nem adhat a tartományhoz.

Az alábbi táblázatban a Windows Server 2008 R2 Active Directory tartományi szolgáltatásokat használó tartományok egyes működési szintjein engedélyezett tartományi szintű szolgáltatások láthatók.

Tartományok működési szintje Engedélyezett szolgáltatások

Windows 2000 natív

Az Active Directory összes alapértelmezett szolgáltatása és a következők:

  • Az univerzális csoportok a terjesztési csoportok és a biztonsági csoportok esetén is engedélyezve vannak.

  • Csoportbeágyazás

  • A csoportkonvertálás engedélyezve van, amely lehetővé teszi a konverziót a biztonsági csoportok és a terjesztési csoportok között.

  • Biztonsági azonosító előzményei

Windows Server 2003

Az Active Directory összes alapértelmezett szolgáltatása, a Windows 2000 natív tartományműködési szint összes szolgáltatása, valamint az alábbi szolgáltatások:

  • Tartománykezelő eszköz (Netdom.exe) a tartományvezérlő-átnevezés előkészítéséhez

  • A bejelentkezési időbélyegző módosítása. A lastLogonTimestamp attribútumot a rendszer a felhasználóhoz vagy a számítógéphez tartozó utolsó bejelentkezési időpontra módosítja. Az attribútumot a rendszer a tartományon belül replikálja.

  • A userPassword attribútum beállítható az inetOrgPerson objektum és a felhasználói objektumok érvényes jelszavaként.

  • A Felhasználók és számítógépek tárolói átirányíthatók. Alapértelmezésben két jól ismert tároló áll rendelkezésre a számítógép és a felhasználók vagy csoportok fiókjainak tárolásához: cn=Computers,<tartomány gyökere> és cn=Users <tartomány gyökere>. A szolgáltatással új jól ismert helyet definiálhat a fiókokhoz.

  • Az Engedélyezéskezelő az engedélyezési házirendeket az Active Directory tartományi szolgáltatásokban képes tárolni.

  • A korlátozott delegálás segítségével az alkalmazások a Kerberos hitelesítési protokoll eszközeinek használatával kihasználhatják a felhasználói hitelesítő adatok biztonságos delegálásának előnyeit. A delegálást beállíthatja úgy, hogy csak adott célszolgáltatásokra legyen engedélyezve.

  • A szelektív hitelesítés támogatott, amelynek segítségével megadhatja egy megbízható erdő azon felhasználóit és csoportjait, akik hitelesíthetik egy megbízó erdő erőforrás-kiszolgálóit.

Windows Server 2008

Az Active Directory összes alapértelmezett szolgáltatása, a Windows Server 2003 tartomány működési szintjének összes szolgáltatása, valamint az alábbi szolgáltatások:

  • Az elosztott fájlrendszer replikációs szolgáltatása támogatott a SYSVOL köteten, lehetővé téve a SYSVOL kötet tartalmának megbízhatóbb és részletesebb replikálását.

  • Speciális titkosítási szolgáltatások (AES 128 és 256) támogatása a Kerberos hitelesítési protokollhoz.

  • Utolsó interaktív bejelentkezés adatai: megjeleníti egy felhasználó utolsó sikeres interaktív bejelentkezésének időpontját, a bejelentkezéshez használt munkaállomást, valamint a legutolsó bejelentkezés óta végrehajtott sikertelen kísérletek számát.

  • Minden részletre kiterjedő jelszóházirendek, melyek segítségével a jelszóházirendek és fiókzárolási házirendek egy tartomány felhasználói és globális biztonsági csoportjai számára adhatók meg.

Windows Server 2008 R2

Az Active Directory összes alapértelmezett szolgáltatása, a Windows Server 2008 tartományműködési szint összes szolgáltatása, valamint az alábbi szolgáltatások:

  • Hitelesítési mechanizmus biztosítása, amely elhelyezi az egyes felhasználók Kerberos jogkivonatába a tartomány felhasználóinak hitelesítésére használt bejelentkezési módszer típusára (intelligens kártya vagy felhasználónév és jelszó) vonatkozó információkat. Ha ez a szolgáltatás olyan hálózati környezetben van engedélyezve, amely összevont identitáskezelési infrastruktúrával rendelkezik (mint például az Active Directory összevonási szolgáltatások), akkor a jogkivonatban lévő adatok kinyerhetők, valahányszor egy felhasználó olyan jogcímbarát alkalmazáshoz próbál hozzáférni, amelynek feladata a jogosultság megállapítása a felhasználói bejelentkezési módja alapján.

Erdők működési szintje

Az erdők működési szintjének beállítása az erdőhöz tartozó összes tartományra egyaránt vonatkozó szolgáltatások engedélyezését teszi lehetővé. A Windows Server 2008 R2 operációs rendszerben az erdők az alábbi négy működési szinttel rendelkezhetnek: Windows 2000, Windows Server 2003 (alapértelmezett), Windows Server 2008 és Windows Server 2008 R2.

Az alábbi táblázatban az erdők Windows Server 2008 R2 operációs rendszerben rendelkezésre álló működési szintjei és a támogatott tartományvezérlők találhatók:

Erdő működési szintje Támogatott tartományvezérlők

Windows 2000 Server

Windows NT 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (alapértelmezett)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Ha megemeli az erdő működési szintjét, a korábbi operációs rendszerrel működő tartományvezérlők nem adhatók az erdőhöz. Ha például az erdő működési szintjét Windows Server 2008 R2 értékre lépteti elő, a Windows Server 2008 rendszerrel működő tartományvezérlők nem adhatók az erdőhöz.

Az alábbi táblázatban azok az erdőszintű szolgáltatások láthatók, amelyek engedélyezve vannak a Windows Server 2008 R2 erdőműködési szinteken.

Erdő működési szintje Engedélyezett szolgáltatások

Windows Server 2003

Az Active Directory összes alapértelmezett szolgáltatása és a következők:

  • Erdőszintű megbízhatóság

  • Tartományátnevezés.

  • Csatolt értékek replikálása. A csoporttagságban történt módosítások az egyes tagok értékeit külön tárolják és replikálják, nem pedig a teljes tagságot egy egységként. Ennek eredményeként a számítógép kisebb hálózati sávszélességet és kevesebb processzoridőt használ, illetve megszűnik a frissítések elvesztésének lehetősége, amely abból adódhat, hogy a tagokat párhuzamosan adják hozzá vagy távolítják el a különböző tartományvezérlőkön.

  • Windows Server 2008 rendszerrel működő írásvédett tartományvezérlő telepítése.

  • Továbbfejlesztett tudáskonzisztencia-ellenőrző (KCC) algoritmusok és méretezhetőség. A helyközi topológiagenerátor (ISTG) továbbfejlesztett algoritmusai méretezhetőségük révén már olyan erdőket is képesek támogatni, amelyek a Windows 2000 működési szinten lehetségesnél több helyet tartalmaznak.

  • A tartományi címpartíción létrehozhatók a dynamicObject dinamikus kiegészítő osztály példányai.

  • Az inetOrgPerson objektumpéldányok User objektumpéldánnyá konvertálhatók és fordítva.

  • Létrehozhatók az új csoporttípusok - az alapvető alkalmazáscsoportok és az LDAP-lekérdezéscsoportok - példányai a szerepköralapú hitelesítés támogatásához.

  • A sémához tartozó attribútumok és osztályok deaktiválása és újradefiniálása.

Windows Server 2008

A Windows Server 2003 erdő működési szintjén elérhető összes szolgáltatás használható, de továbbiak nem. Az erdőhöz később hozzáadott tartományok azonban alapértelmezés szerint Windows Server 2008 tartományműködési szinten fognak működni.

Windows Server 2008 R2

A Windows Server 2003 erdőműködési szinten elérhető összes szolgáltatás használható, valamint a következő szolgáltatások:

  • Active Directory Lomtár, melynek segítségével teljes egészében visszaállíthatók a törölt objektumok, ha az Active Directory tartományi szolgáltatások aktív.

Az erdőhöz később hozzáadott tartományok alapértelmezés szerint a Windows Server 2008 R2 tartományi működési szinten működnek.

Ha a teljes erdőben kizárólag olyan tartományvezérlőket kíván használni, amelyek Windows Server 2008 R2 rendszert használnak, akkor ennek a működési szintnek a választásával leegyszerűsítheti a felügyeleti feladatokat, hiszen így nem kell majd emelnie minden egyes az erdőben létrehozott tartomány működési szintjét.

További hivatkozások


Tartalom