ドメインまたはフォレストの機能レベルを設定する

機能レベルによって、ドメインまたはフォレストで有効になる Active Directory ドメインサービス (AD DS) の機能が決まります。また機能レベルでは、ドメインまたはフォレスト内のドメインコントローラーでどの Windows Server オペレーティングシステムを実行できるのかが制限されます。しかし、機能レベルによって、ドメインやフォレストに参加しているワークステーションやメンバーサーバーでどのオペレーティングシステムを実行できるかが影響を受けることはありません。

新しいドメインまたは新しいフォレストを作成するときは、ドメインおよびフォレストの機能レベルを、環境でサポートできることがわかっている最高値に設定します。こうすることで、可能な限り多くの AD DS 機能を活用できます。たとえば、今後、Windows Server 2008 (およびそれ以前のオペレーティングシステム) を実行するドメインコントローラーをドメインにもフォレストにも一切追加しないことが確実な場合は、Windows Server 2008 R2 の機能レベルを選択します。逆に、Windows Server 2008 (およびそれ以前のオペレーティングシステム) を実行するドメインコントローラーを継続して使用するか今後追加する可能性がある場合は、インストール時に Windows Server 2008 の機能レベルを選択します。このようなドメインコントローラーが今後追加されないこと、または既に使用されていないことがわかっている場合は、インストール後に機能レベルを上げることができます。

新しいフォレストをインストールするときは、フォレストの機能レベルを設定するよう求められ、その次にドメインの機能レベルを設定するよう求められます。ドメインの機能レベルを、フォレストの機能レベルよりも低い値に設定することはできません。たとえば、フォレストの機能レベルを Windows Server 2008 R2 に設定した場合、ドメインの機能レベルとして設定できる値は Windows Server 2008 R2 のみです。この場合、ウィザードの [ドメインの機能レベルの設定] ページでは、Windows 2000、Windows Server 2003 および Windows Server 2008 の値はドメインの機能レベルとして選択できなくなります。また、そのフォレストに今後追加するドメインの機能レベルはすべて、既定で Windows Server 2008 R2 になります。

いったんドメインの機能レベルに値を設定した後は、その値より低いレベルに降格させることはできません。ただし、次の場合だけは例外です。ドメインの機能レベルを Windows Server 2008 R2 に上げたとき、フォレストの機能レベルが Windows Server 2008 かそれより低い場合は、ドメインの機能レベルを Windows Server 2008 に降格させることができます。ドメインの機能レベルを下げることは、Windows Server 2008 R2 から Windows Server 2008 への降格に限って可能です。たとえば、ドメインの機能レベルが Windows Server 2008 R2 に設定されていても、Windows Server 2003 に降格することはできません。

いったんフォレストの機能レベルに値を設定した後は、それより低いフォレスト機能レベルに降格させることはできません。ただし、次の場合だけは例外です。フォレストの機能レベルを Windows Server 2008 R2 に上げた場合、Active Directory のごみ箱が有効になっていないときには、フォレストの機能レベルを Windows Server 2008 に降格することができます。フォレストの機能レベルを下げることは、Windows Server 2008 R2 から Windows Server 2008 への降格に限って可能です。たとえば、フォレストの機能レベルが Windows Server 2008 R2 に設定されていても、Windows Server 2003 に降格することはできません。

以下の各セクションでは、さまざまなドメインおよびフォレストの機能レベルで有効になる機能セットについて説明します。

ドメインの機能レベルで有効になる機能

次の表に、各ドメインの機能レベルで有効になる機能、およびサポートされるドメインコントローラーのオペレーティングシステムを示します。

ドメインの機能レベル	有効な機能	サポートされるドメインコントローラーのオペレーティングシステム
Windows 2000 ネイティブ	既定の Active Directory の機能すべて。加えて、以下の機能が有効です。ユニバーサルグループ。配布グループとセキュリティグループの両方で有効になります。グループのネスト。グループの変換。セキュリティグループと配布グループ間の変換が可能になります。セキュリティ識別子 (SID) の履歴。	Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003	既定の Active Directory の機能すべてと Windows 2000 ネイティブドメインの機能レベルで有効な機能すべて。加えて、以下の機能が有効です。ドメイン管理ツール Netdom.exe。このツールは、ドメインコントローラーの名前を変更するための準備を行います。ログオンタイムスタンプの更新。lastLogonTimestamp 属性は、ユーザーまたはコンピューターの最後のログオン日時で更新されます。この属性は、ドメイン内でレプリケートされます。読み取り専用ドメインコントローラー (RODC) によってアカウントが認証される場合、この属性が更新されないことがあります。 userPassword 属性。inetOrgPerson オブジェクトやユーザーオブジェクトの有効なパスワードとして設定できます。 Users および Computers コンテナーのリダイレクト。既定では、既知の 2 つのコンテナー cn=Computers,<ドメインルート> および cn=Users,<ドメインルート> に、コンピューターやユーザー/グループのアカウントが格納されます。この機能を使用すると、これらのアカウントの新しい既知の場所を定義することができます。承認マネージャーによる AD DS への承認ポリシーの保存。制約付き委任。これにより、アプリケーションは、Kerberos 認証プロトコルによるユーザー資格情報の安全な委任を利用することが可能になります。特定のサービスへのアクセスのみが許可されるよう委任を構成することもできます。認証の選択のサポート。これにより、信頼する側のフォレストのリソースサーバーで認証を受けることが許可される、信頼されている側のフォレストのユーザーおよびグループを指定できます。	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	既定の Active Directory の機能すべてと Windows 2000 ネイティブと Windows Server 2003 ドメインの機能レベルで有効な機能すべて。加えて、以下の機能が有効です。 SYSVOL に対する分散ファイルシステム (DFS) レプリケーションのサポート。これにより、SYSVOL の内容に対して、より強力で詳細なレプリケーション機能が提供されます。SYSVOL に対して DFS レプリケーションを使用するには、追加の手順が必要になる場合があります。詳細については、ファイルサービスに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=93167) を参照してください。 Kerberos プロトコルに対する Advanced Encryption Services (AES 128 および 256) のサポート。対話型の最終ログオンに関する情報。最後に成功したユーザーによる対話型ログオンの時刻、ログオンに使用されたワークステーション、および最終ログオン以降に試行されたログオンの失敗回数が表示されます。詳細なパスワードポリシー。この機能により、ドメイン内のユーザーおよびグローバルセキュリティグループに対して、パスワードおよびアカウントロックアウトポリシーを指定することが可能になります。	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	既定の Active Directory の機能すべてと Windows 2000 ネイティブと Windows Server 2003、Windows Server 2008 の機能レベルで有効な機能すべて。加えて、以下の機能が有効です。認証メカニズム保証。各ユーザーの Kerberos トークン内に、ドメインユーザーの認証に使用されるログオン方法 (スマートカードまたはユーザー名/パスワード) の種類に関する情報をまとめたものです。Active Directory フェデレーションサービス (AD FS) などのフェデレーション ID 管理インフラストラクチャを導入済みのネットワーク環境でこの認証メカニズム保証が有効になっている場合、ユーザーが要求対応型アプリケーション (ユーザーのログオン方法に基づいて承認の可否を判定するアプリケーション) へのアクセスを試みるたびに、Kerberos トークン内の情報が抽出されます。	Windows Server 2008 R2

フォレストの機能レベルで有効になる機能

次の表に、各フォレストの機能レベルで有効になる機能、およびサポートされるドメインコントローラーのオペレーティングシステムを示します。

フォレストの機能レベル	有効な機能	サポートされるドメインコントローラーのオペレーティングシステム
Windows 2000	既定の Active Directory の機能すべて	Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003	既定の Active Directory の機能すべて。加えて、以下の機能が有効です。フォレストの信頼。ドメイン名の変更。リンクされた値のレプリケーション (グループメンバーシップに変更を加えると、変更された値は個々のメンバーに保存されレプリケートされます。メンバーシップ全体が 1 つの単位としてレプリケートされることはありません)。この変更により、レプリケーション時のネットワーク帯域幅の消費量およびプロセッサ使用量を削減することができます。また、複数のドメインコントローラーで同時にメンバーの追加や削除が実行されても、更新が失われることがなくなります。 RODC を展開する機能。知識整合性チェッカー (KCC) の強化されたアルゴリズムおよびスケーラビリティ。サイト間トポロジジェネレーター (ISTG) は、強化されたアルゴリズムを使用します。スケーラビリティの向上により、Windows 2000 フォレストの機能レベルでサポートされるサイト数より多くのサイトを含むフォレストがサポート可能になります。 dynamicObject と呼ばれる動的な補助型クラスのインスタンスをドメインディレクトリパーティションに作成する機能。 inetOrgPerson オブジェクトインスタンスのユーザーオブジェクトインスタンスへの変換。逆の変換も可能です。アプリケーション基本グループおよびライトウェイトディレクトリアクセスプロトコル (LDAP) クエリグループという、新しい種類のグループのインスタンスを作成する機能。これは、役割ベースの承認をサポートするための機能です。スキーマの属性およびクラスの非アクティブ化と再定義。	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	Windows Server 2003 フォレストの機能レベルで使用可能な機能がすべて提供されますが、他に追加される機能はありません。ただし、このフォレストに今後追加されるドメインはすべて、既定で Windows Server 2008 ドメインの機能レベルで動作します。 Windows Server 2008 または Windows Server 2008 R2 を実行するドメインコントローラーだけをフォレスト全体に含める予定の場合は、管理を簡単にするために、このフォレストの機能レベルを選択することもできます。	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	Windows Server 2003 フォレストの機能レベルで使用可能な機能に加えて、以下の機能が提供されます。ごみ箱。AD DS を実行している間は、削除されたオブジェクトをそっくりそのまま復元できます。このフォレストに今後追加されるドメインはすべて、既定で Windows Server 2008 R2 ドメインの機能レベルで動作します。フォレスト全体で、今後も Windows Server 2008 R2 を実行するドメインコントローラー以外は追加しない場合、管理しやすいようにフォレストの機能レベルとして Windows Server 2008 R2 を選択しておくこともできます。このような選択を行った場合、フォレスト内に作成するドメインごとにドメインの機能レベルを上げる必要がなくなります。	Windows Server 2008 R2

ドメインまたはフォレストの機能レベルを設定する

ドメインの機能レベルで有効になる機能

フォレストの機能レベルで有効になる機能

目次