Functionaliteitsniveaus bepalen welke functies van Active Directory Domain Services (AD DS) in een domein of een forest zijn ingeschakeld. Ze bepalen ook welke Windows Server-besturingssystemen op domeincontrollers in het domein of forest kunnen worden uitgevoerd. Functionaliteitsniveaus bepalen echter niet welke besturingssystemen mogen worden uitgevoerd op werkstations en lidservers die deel uitmaken van het domein of forest.

Als u een nieuw domein of een nieuw forest maakt, stelt u de domein- en forest-functionaliteitsniveaus in op de hoogste waarden die door uw omgeving worden ondersteund. Op deze manier kunt u van zoveel mogelijk AD DS-functies profiteren. Als u bijvoorbeeld zeker weet dat er nooit een domeincontroller met Windows Server 2008 (of een ouder besturingssysteem) zal worden toegevoegd aan het domein of het forest, selecteert u het functionaliteitsniveau Windows Server 2008 R2. Als het echter mogelijk is dat u gebruik blijft maken van domeincontrollers met Windows Server 2008 of een ouder besturingssysteem of dat u deze domeincontrollers zult toevoegen, selecteert u tijdens de installatie het functionaliteitsniveau Windows Server 2008. U kunt na de installatie het functionaliteitsniveau verhogen als u er zeker van bent dat dergelijke domeincontrollers niet meer zullen worden toegevoegd en niet meer worden gebruikt.

Als u een nieuw forest installeert, wordt u eerst gevraagd om het forest-functionaliteitsniveau in te stellen en vervolgens het domeinfunctionaliteitsniveau. U kunt het domeinfunctionaliteitsniveau niet instellen op een waarde die lager is dan de waarde die is ingesteld voor het forest-functionaliteitsniveau. Als u het forestfunctionaliteitsniveau bijvoorbeeld instelt op Windows Server 2008 R2, kunt u het domeinfunctionaliteitsniveau alleen maar instellen op Windows Server 2008 R2. De domeinfunctionaliteitsniveaus Windows 2000, Windows Server 2003 en Windows Server 2008 zijn in dit geval niet beschikbaar op de wizardpagina Domeinfunctionaliteitsniveau instellen. Bovendien zullen alle domeinen die u hierna aan het forest toevoegt standaard het domeinfunctionaliteitsniveau Windows Server 2008 R2 hebben.

Nadat u het domeinfunctionaliteitsniveau op een bepaalde waarde hebt ingesteld, kunt u het domeinfunctionaliteitsniveau niet terugzetten of verlagen, met één uitzondering: wanneer u het domeinfunctionaliteitsniveau naar Windows Server 2008 R2 verhoogt en het forestfunctionaliteitsniveau Windows Windows Server 2008 of lager is, kunt u het domeinfunctionaliteitsniveau terugzetten naar Windows Server 2008. U kunt het domeinfunctionaliteitsniveau alleen verlagen van Windows Server 2008 R2 naar Windows Server 2008. Als het domeinfunctionaliteitsniveau is ingesteld op Windows Server 2008 R2, kan het bijvoorbeeld niet worden teruggezet naar Windows Server 2003.

Nadat u het forestfunctionaliteitsniveau op een bepaalde waarde hebt ingesteld, kunt u het forestfunctionaliteitsniveau niet terugzetten of verlagen, met één uitzondering: wanneer u het forestfunctionaliteitsniveau naar Windows Server 2008 R2 forestfunctionaliteitsniveau en de Prullenbak van Active Directory niet is ingeschakeld, kunt u het forestfunctionaliteitsniveau terugzetten naar Windows Server 2008. U kunt het forestfunctionaliteitsniveau alleen verlagen van Windows Server 2008 R2 naar Windows Server 2008. Als het forestfunctionaliteitsniveau is ingesteld op Windows Server 2008 R2, kan het bijvoorbeeld niet worden teruggezet naar Windows Server 2003.

In de volgende gedeelten vindt u een uitleg van de functies die zijn ingeschakeld voor de verschillende domein- en forest-functionaliteitsniveaus.

Functies die zijn ingeschakeld op de domeinfunctionaliteitsniveaus

In de volgende tabel staat voor elk domeinfunctionaliteitsniveau aangegeven welke functies zijn ingeschakeld en welke besturingssystemen worden ondersteund voor domeincontrollers.

Domeinfunctionaliteitsniveau Ingeschakelde functies Ondersteunde besturingssystemen voor domeincontrollers

Windows 2000 (native modus)

Alle standaardfuncties van Active Directory, plus de volgende functies:

  • Universele groepen voor zowel distributiegroepen als beveiligingsgroepen

  • Groepen kunnen worden genest

  • Groepsconversie, waardoor conversie tussen beveiligingsgroepen en distributiegroepen mogelijk is

  • SID-geschiedenis (beveiligings-id)

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Alle standaardfuncties van Active Directory, alle functies van het domeinfunctionaliteitsniveau Windows 2000 (native modus), plus de volgende functies:

  • Het domeinbeheerprogramma Netdom.exe is beschikbaar voor het voorbereiden van de naamwijziging van domeincontrollers.

  • Bijwerken van het aanmeldingstijdstempel. Het kenmerk lastLogonTimestamp wordt bijgewerkt met het laatste aanmeldingstijdstip van de gebruiker of de computer. Dit kenmerk wordt binnen het domein gerepliceerd. Let wel dat dit kenmerk mogelijk niet wordt bijgewerkt als het account wordt geverifieerd door een alleen-lezen domeincontroller.

  • Het kenmerk userPassword kan worden ingesteld als het effectieve wachtwoord voor inetOrgPerson-objecten en User-objecten.

  • De containers Gebruikers en Computers kunnen worden omgeleid. Standaard zijn er twee bekende containers beschikbaar voor het onderbrengen van computer- en gebruikers-/groepsaccounts: cn=Computers,<hoofddomein> en cn=Gebruikers,<hoofddomein>. Met deze functie kunt u voor deze accounts een nieuwe bekende locatie definiëren.

  • De regels voor autorisatiebeleid van Autorisatiebeheer kunnen worden opgeslagen in AD DS.

  • Beperkte delegering, waardoor toepassingen kunnen profiteren van de beveiligde delegering van gebruikersreferenties door middel van het Kerberos-verificatieprotocol. U kunt het delegeren zo configureren dat deze alleen is toegestaan naar bepaalde bestemmingsservices.

  • Ondersteuning voor selectieve verificatie, waardoor het mogelijk is de gebruikers en groepen uit een vertrouwd forest op te geven die zich mogen aanmelden bij bronservers in een forest waarmee een vertrouwensrelatie bestaat.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Alle standaardfuncties van Active Directory, alle functies van de domeinfunctionaliteitsniveaus Windows 2000 (native modus) en Windows Server 2003, plus de volgende functies:

  • Ondersteuning voor DFS-replicatie (Distributed File System) voor SYSVOL, waardoor een betrouwbaardere en gedetailleerdere replicatie van de inhoud van SYSVOL mogelijk is. U dient mogelijk aanvullende stappen uit te voeren om DFS-replicatie voor SYSVOL uit te voeren. Raadpleeg Bestandsservices (https://go.microsoft.com/fwlink/?LinkId=93167) voor meer informatie (deze pagina is mogelijk in het Engels).

  • Advanced Encryption Services-ondersteuning (AES 128 en 256) voor het Kerberos-verificatieprotocol.

  • Last Interactive Logon Information, waarmee informatie kan worden weergegeven over het tijdstip van de laatste geslaagde interactieve aanmeldingspoging van een gebruiker, het betrokken werkstation en het aantal mislukte aanmeldingspogingen sinds de laatste aanmelding.

  • Fijnmazig wachtwoordbeleid, waardoor wachtwoord- en accountvergrendelingsbeleid kan worden opgegeven voor gebruikers en globale beveiligingsgroepen in een domein.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Alle standaardfuncties van Active Directory, alle functies van de functionaliteitsniveaus Windows 2000 (native modus), Windows Server 2003 en Windows Server 2008, plus de volgende functie:

  • Zekerheid van verificatiemechanisme: bevat informatie over het type aanmeldingsmethode (smartcard of gebruikersnaam/wachtwoord) dat wordt gebruikt om domeingebruikers binnen het Kerberos-token van elke gebruiker te verifiëren. Wanneer deze functie is ingeschakeld in een netwerkomgeving waarin een infrastructuur met federatief id-beheer is geïmplementeerd, zoals AD FS (Active Directory Federation Services), kunnen de gegevens uit het token worden opgehaald wanneer een gebruiker toegang probeert te krijgen tot een claimbewuste toepassing die is ontwikkeld om de verificatie te bepalen op basis van de aanmeldingsmethode van de gebruiker.

Windows Server 2008 R2

Functies die zijn ingeschakeld op de forest-functionaliteitsniveaus

In de volgende tabel staat voor elk forest-functionaliteitsniveau aangegeven welke functies zijn ingeschakeld en welke besturingssystemen worden ondersteund voor domeincontrollers.

Forest-functionaliteitsniveau

Ingeschakelde functies

Ondersteunde besturingssystemen voor domeincontrollers

Windows 2000

Alle standaardfuncties van Active Directory

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Alle standaardfuncties van Active Directory, plus de volgende functies:

  • Forestvertrouwensrelatie

  • Domeinnaamwijziging

  • Replicatie met gekoppelde waarden (wijzigingen in het groepslidmaatschap worden opgeslagen en gerepliceerd als waarden voor afzonderlijke leden in plaats van voor het lidmaatschap als geheel). Hierdoor is minder netwerkbandbreedte en processorcapaciteit nodig tijdens de replicatie en wordt uitgesloten dat updates verloren gaan wanneer verschillende leden tegelijkertijd op verschillende domeincontrollers worden toegevoegd of verwijderd.

  • Er kan een RODC worden geïmplementeerd

  • Verbeterde algoritmen en schaalbaarheid voor KCC (Knowledge Consistency Checker). De intersitetopologiegenerator (ISTG) maakt gebruik van verbeterde algoritmen die schaalbaar zijn voor gebruik met forests met een groter aantal sites dan door het forest-functionaliteitsniveau Windows 2000 kunnen worden ondersteund.

  • Er kunnen exemplaren van de dynamische hulpklasse dynamicObject worden gemaakt in een domeinmappartitie

  • Een exemplaar van het object inetOrgPerson kan worden omgezet in een exemplaar van het object User, en andersom

  • Er kunnen exemplaren worden gemaakt van de nieuwe groepstypen basistoepassingsgroepen en groepen voor LDAP-query's (Lightweight Directory Access Protocol), ter ondersteuning van autorisatie op basis van rollen

  • Kenmerken en klassen in het schema kunnen worden gedeactiveerd en opnieuw gedefinieerd

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Alle functies die beschikbaar zijn voor het forestfunctionaliteitsniveau Windows Server 2003, maar geen aanvullende functies. Standaard wordt voor alle domeinen die daarna aan het forest worden toegevoegd, echter het domeinfunctionaliteitsniveau Windows Server 2008 gebruikt.

Als u in het hele forest alleen domeincontrollers met Windows Server 2008 of Windows Server 2008 R2 gaat gebruiken, kunt u dit forest-functionaliteitsniveau kiezen om het beheer te vergemakkelijken.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Alle functies die beschikbaar zijn voor het forestfunctionaliteitsniveau Windows Server 2003, plus de volgende functie:

  • de Prullenbak, waardoor verwijderde objecten in hun geheel kunnen worden teruggezet terwijl AD DS wordt uitgevoerd.

Standaard wordt voor alle domeinen die daarna aan het forest worden toegevoegd het domeinfunctionaliteitsniveau Windows Server 2008 R2 gebruikt.

Als u in het hele forest alleen domeincontrollers met Windows Server 2008 R2 gaat gebruiken, kunt u dit forestfunctionaliteitsniveau kiezen om het beheer te vergemakkelijken. Als u dit doet, hoeft u voor elk domein dat u in het forest maakt nooit het domeinfunctionaliteitsniveau te verhogen.

Windows Server 2008 R2

Inhoudsopgave