ドメインとフォレストの機能

Windows Server® 2008 R2 の Active Directory ドメイン サービス (AD DS) で使用できるドメインおよびフォレストの機能により、ドメイン全体またはフォレスト全体の Active Directory 機能をネットワーク環境で有効にすることができます。ネットワーク環境によって、使用できるドメインおよびフォレストの機能レベルは異なります。

ドメインまたはフォレスト内のすべてのドメイン コントローラーが Windows Server 2008 R2 を実行しており、ドメインおよびフォレストの機能レベルが Windows Server 2008 R2 に設定されている場合は、ドメイン全体およびフォレスト全体の機能をすべて使用できます。ドメイン またはフォレストに Windows® 2000、Windows Server 2003、または Windows Server 2008 のドメイン コントローラーがある場合は、使用できる Active Directory の機能が制限されます。ドメイン全体またはフォレスト全体の機能を有効にする方法の詳細については、「ドメインの機能レベルを上げる」および「フォレストの機能レベルを上げる」を参照してください。

ドメインの機能

ドメインの機能は、ある 1 つのドメイン全体に影響する機能を有効にします (他のドメインには影響しません)。Windows Server 2008 R2 AD DS には、Windows 2000 ネイティブ、Windows Server 2003 (既定)、Windows Server 2008、および Windows Server 2008 R2 という 4 つのドメイン機能レベルがあります。

次の表は、ドメインの機能レベルとその機能レベルでサポートされるドメイン コントローラーの一覧です。

ドメインの機能レベル サポートされるドメイン コントローラー

Windows 2000 ネイティブ

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

ドメインの機能レベルを上げると、その機能レベルより前のバージョンのオペレーティング システムを実行しているドメイン コントローラーはドメインに導入できなくなります。たとえば、ドメインの機能レベルを Windows Server 2008 R2 に上げると、Windows Server 2008 を実行するドメイン コントローラーはそのドメインに追加できなくなります。

次の表は、Windows Server 2008 R2 AD DS ドメインの機能レベルで有効なドメイン全体の機能を示しています。

ドメインの機能レベル 有効な機能

Windows 2000 ネイティブ

既定の Active Directory の機能すべて。加えて、以下の機能が有効です。

  • ユニバーサル グループ。配布グループとセキュリティ グループの両方で有効になります。

  • グループのネスト。

  • グループの変換。セキュリティ グループと配布グループ間の変換が可能になります。

  • セキュリティ識別子 (SID) の履歴。

Windows Server 2003

既定の Active Directory の機能すべてと Windows 2000 ネイティブ ドメインの機能レベルで有効な機能すべて。加えて、以下の機能が有効です。

  • ドメイン管理ツール Netdom.exe。このツールは、ドメイン コントローラーの名前を変更するための準備を行います。

  • ログオン タイム スタンプの更新。lastLogonTimestamp 属性は、ユーザーまたはコンピューターの最後のログオン日時で更新されます。この属性は、ドメイン内でレプリケートされます。

  • userPassword 属性の設定。inetOrgPerson オブジェクトやユーザー オブジェクトの有効なパスワードとして設定できます。

  • Users および Computers コンテナーのリダイレクト。既定では、既知の 2 つのコンテナー cn=Computers,<ドメイン ルート> および cn=Users,<ドメイン ルート> に、コンピューターやユーザー/グループのアカウントが格納されます。この機能を使用すると、これらのアカウントの新しい既知の場所を定義することができます。

  • 承認マネージャーによる AD DS への承認ポリシーの保存。

  • 制約付き委任。これにより、アプリケーションは、Kerberos 認証プロトコルによるユーザー資格情報の安全な委任を利用することが可能になります。特定のサービスへのアクセスのみが許可されるよう委任を構成することもできます。

  • 認証の選択のサポート。これにより、信頼する側のフォレストのリソース サーバーで認証を受けることが許される、信頼されている側のフォレストのユーザーおよびグループを指定できます。

Windows Server 2008

既定の Active Directory の機能すべてと Windows Server 2003 ドメインの機能レベルで有効な機能すべて。加えて、以下の機能が有効です。

  • SYSVOL に対する分散ファイル システムのレプリケーションのサポート。これにより、SYSVOL の内容物に対して、より強力また詳細なレプリケーション機能が提供されます。

  • Advanced Encryption Services (AES 128 および 256) による Kerberos 認証プロトコルのサポート。

  • 対話型の最終ログオンに関する情報。最後に成功したユーザーによる対話型ログオンの時刻、ログオンに使用されたワークステーション、および最終ログオン以降に試行されたログオンの失敗回数が表示されます。

  • 詳細なパスワード ポリシー。この機能により、ドメイン内のユーザーおよびグローバル セキュリティ グループに対して、パスワードおよびアカウント ロックアウト ポリシーを指定することが可能になります。

Windows Server 2008 R2

既定の Active Directory の機能すべてと Windows Server 2008 ドメインの機能レベルで有効な機能すべて。加えて、以下の機能が有効です。

  • 認証メカニズム保証。各ユーザーの Kerberos トークン内のドメイン ユーザーの認証に使用されるログオン方法の種類 (スマート カードまたはユーザー名/パスワード) に関する情報をパッケージ化します。Active Directory フェデレーション サービス (AD FS) などのフェデレーション ID 管理インフラストラクチャが展開されているネットワーク環境でこの機能を有効にすると、ユーザーのログオン方法に基づいて承認を判断するように設計された、要求に対応するアプリケーションにユーザーがアクセスしようとするたびに、トークン内の情報を抽出できます。

フォレストの機能

フォレストの機能は、フォレスト内のすべてのドメインで機能を有効にします。Windows Server 2008 R2 オペレーティング システムには、Windows 2000、Windows Server 2003 (既定)、Windows Server 2008、および Windows Server 2008 R2 という 4 つのフォレストの機能レベルがあります。

次の表は、Windows Server 2008 R2 オペレーティング システムで使用可能なフォレストの機能レベルとその機能レベルでサポートされるドメイン コントローラーの一覧です。

フォレストの機能レベル サポートされるドメイン コントローラー

Windows 2000

Windows NT® 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (既定)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

フォレストの機能レベルを上げると、その機能レベルより前のバージョンのオペレーティング システムを実行しているドメイン コントローラーはフォレストに導入できなくなります。たとえば、フォレストの機能レベルを Windows Server 2008 R2 に上げると、Windows Server 2008 を実行するドメイン コントローラーはそのフォレストに追加できなくなります。

次の表は、Windows Server 2003、Windows Server 2008、および Windows Server 2008 R2 フォレストの機能レベルで有効なフォレスト全体の機能を示しています。

フォレストの機能レベル 有効な機能

Windows Server 2003

既定の Active Directory の機能すべて。加えて、以下の機能が有効です。

  • フォレストの信頼。

  • ドメイン名の変更。

  • リンクされた値のレプリケーション (グループ メンバーシップに変更を加えると、変更された値は個々のメンバーに保存されレプリケートされます。メンバーシップ全体が 1 つの単位としてレプリケートされることはありません)。これにより、レプリケーション時のネットワーク帯域幅の消費量およびプロセッサ使用量を削減することができます。また、複数のドメイン コントローラーで同時にメンバーの追加や削除が実行されても、更新が失われることがなくなります。

  • Windows Server 2008 を実行する読み取り専用ドメイン コントローラー (RODC) の展開。

  • 知識整合性チェッカー (KCC) の強化されたアルゴリズムおよびスケーラビリティ。サイト間トポロジ ジェネレーター (ISTG) は、強化されたアルゴリズムを使用します。スケーラビリティの向上により、Windows 2000 フォレストの機能レベルでサポートされるサイト数より多くのサイトを含むフォレストがサポート可能になります。

  • dynamicObject と呼ばれる動的な補助型クラスのインスタンスをドメイン ディレクトリ パーティションで作成する機能。

  • inetOrgPerson オブジェクト インスタンスのユーザー オブジェクト インスタンスへの変換。逆の変換も可能です。

  • アプリケーション基本グループおよびライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリ グループという、新しい種類のグループのインスタンス作成。これは、役割ベースの承認をサポートするための機能です。

  • スキーマの属性およびクラスの非アクティブ化と再定義。

Windows Server 2008

この機能レベルでは、Windows Server 2003 フォレストの機能レベルで使用可能な機能がすべて提供されますが、他に追加される機能はありません。ただし、この後このフォレストに追加されるドメインはすべて、既定で Windows Server 2008 ドメインの機能レベルで動作します。

Windows Server 2008 R2

Windows Server 2003 フォレストの機能レベルで使用可能な機能がすべて提供されます。加えて、以下の機能も提供されます。

  • Active Directory のごみ箱。AD DS の実行中に、削除されたオブジェクト全体を復元する機能を提供します。

このフォレストに今後追加されるドメインはすべて、既定で Windows Server 2008 R2 ドメインの機能レベルで動作します。

Windows Server 2008 R2 を実行するドメイン コントローラーだけをフォレスト全体に含める予定の場合は、管理を簡単にするために、このフォレストの機能レベルを選択することもできます。このような選択を行った場合、フォレスト内に作成するドメインごとにドメインの機能レベルを上げる必要がなくなります。

その他の参照情報


目次