Poziomy funkcjonalności decydują o tym, które funkcje usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) są włączone w domenie lub lesie. Ograniczają one także wersje systemów operacyjnych Windows Server, które mogą działać na kontrolerach domeny w domenie lub lesie. Poziomy funkcjonalności nie wpływają jednak to, które wersje systemów operacyjnych mogą działać na stacjach roboczych i serwerach członkowskich przyłączonych do domeny lub lasu.

Podczas tworzenia nowej domeny lub nowego lasu należy ustawić poziomy funkcjonalności domeny i lasu na najwyższe wartości, jakie może obsługiwać dane środowisko. W ten sposób można skorzystać z możliwie największej liczby funkcji usług AD DS. Na przykład, jeśli do domeny lub lasu na pewno nie będą dodawane kontrolery domeny z systemem Windows Server 2008 (lub dowolnym starszym systemem operacyjnym), należy wybrać poziom funkcjonalności systemu Windows Server 2008 R2. Jeśli jednak jest możliwe, że w przyszłości zostaną zachowane lub dodane kontrolery domeny z systemem Windows Server 2008 lub starszym, podczas instalacji należy wybrać poziom funkcjonalności systemu Windows Server 2008. Po zakończeniu instalacji można podnieść poziom funkcjonalności, jeśli istnieje pewność, że żadne takie kontrolery domeny nie będą dodawane ani nie są użytkowane.

Podczas instalowania nowego lasu zostanie wyświetlony monit o ustawienie poziomu funkcjonalności lasu, a następnie poziomu funkcjonalności domeny. Nie można ustawić poziomu funkcjonalności domeny niższego niż poziom funkcjonalności lasu. Na przykład, jeśli dla lasu zostanie ustawiony poziom funkcjonalności systemu Windows Server 2008 R2, dla domeny będzie można ustawić tylko poziom funkcjonalności systemu Windows Server 2008 R2. Poziomy funkcjonalności domeny systemu Windows 2000, Windows Server 2003 oraz Windows Server 2008 nie będą dostępne na stronie kreatora Ustawianie poziomu funkcjonalności domeny. Ponadto wszystkie domeny dodawane później do tego lasu domyślnie otrzymają poziom funkcjonalności systemu Windows Server 2008 R2.

Po ustawieniu określonej wartości dla poziomu funkcjonalności domeny nie można przywrócić poprzedniego ustawienia ani obniżyć poziomu funkcjonalności domeny z wyjątkiem jednej sytuacji: w przypadku podniesienia poziomu funkcjonalności domeny do systemu Windows Server 2008 R2, jeśli poziom funkcjonalności lasu to poziom systemu Windows Windows Server 2008 lub starszego, można przywrócić poziom funkcjonalności domeny do poziomu systemu Windows Server 2008. Poziom funkcjonalności domeny można obniżyć tylko z poziomu systemu Windows Server 2008 R2 do poziomu systemu Windows Server 2008. Po ustawieniu poziomu funkcjonalności domeny na poziom systemu Windows Server 2008 R2 nie można go z powrotem obniżyć do poziomu systemu Windows Server 2003.

Po ustawieniu określonej wartości poziomu funkcjonalności lasu nie można przywrócić poprzedniego ustawienia ani obniżyć poziomu funkcjonalności z wyjątkiem jednej sytuacji: jeśli poziom funkcjonalności lasu zostanie podniesiony do poziomu systemu Windows Server 2008 R2, a kosz usługi Active Directory nie jest włączony, można obniżyć poziom funkcjonalności lasu z powrotem do poziomu systemu Windows Server 2008. Poziom funkcjonalności lasu można obniżyć tylko z poziomu systemu Windows Server 2008 R2 do poziomu systemu Windows Server 2008. Po ustawieniu poziomu funkcjonalności lasu na poziom systemu Windows Server 2008 R2 nie można go z powrotem obniżyć do poziomu systemu Windows Server 2003.

W poniższych sekcjach objaśniono zestawy funkcji, które są włączane na różnych poziomach funkcjonalności domeny i lasu.

Funkcje włączane na poziomach funkcjonalności domeny

W poniższej tabeli wymieniono włączone funkcje i obsługiwane systemy operacyjne kontrolera domeny dla każdego poziomu funkcjonalności domeny.

Poziom funkcjonalności domeny Włączone funkcje Obsługiwane systemy operacyjne kontrolera domeny

Windows 2000 lokalny

Wszystkie domyślne funkcje usługi Active Directory oraz następujące funkcje:

  • Grupy uniwersalne zarówno dla grup dystrybucyjnych, jak i dla grup zabezpieczeń

  • Zagnieżdżanie grup

  • Konwersja grup, co umożliwia konwertowanie między grupami zabezpieczeń a grupami dystrybucyjnymi.

  • Historia identyfikatorów zabezpieczeń SID

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny systemu Windows 2000 lokalnego, a także następujące funkcje:

  • Narzędzie do zarządzania domeną, Netdom.exe, które jest dostępne w celu przygotowania do zmiany nazwy kontrolera domeny.

  • Aktualizacja sygnatury czasowej logowania. Atrybut lastLogonTimestamp, który będzie aktualizowany z użyciem czasu ostatniego logowania użytkownika lub komputera. Ten atrybut jest replikowany w obrębie domeny. Należy zauważyć, że ten atrybut może nie być aktualizowany, jeśli kontroler domeny tylko do odczytu (RODC) uwierzytelnia konto.

  • Atrybut userPassword, który można ustawić jako hasło obowiązujące dla obiektów klasy inetOrgPerson i obiektów klasy User.

  • Kontenery Użytkownicy i Komputery można przekierować. Domyślnie do przechowywania kont komputerów i kont grup/użytkowników są stosowane dwa dobrze znane kontenery: cn=Komputery,<katalog_główny_domeny> oraz cn=Użytkownicy,<katalog_główny_domeny>. Dzięki tej funkcji można zdefiniować nową dobrze znaną lokalizację dla tych kont.

  • Menedżer autoryzacji może przechowywać swoje zasady autoryzacji w usługach AD DS.

  • Delegowanie ograniczeń, co umożliwia aplikacjom korzystanie z bezpiecznego delegowania poświadczeń użytkowników przy użyciu protokołu uwierzytelniania Kerberos. Delegowanie można skonfigurować tak, aby było dozwolone tylko dla określonych usług docelowych.

  • Obsługa uwierzytelniania selektywnego, co umożliwia określanie użytkowników i grup z lasu zaufanego, w przypadku których jest dozwolone uwierzytelnianie na serwerach zasobów w lesie ufającym.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny systemu Windows 2000 lokalnego oraz systemu Windows Server 2003, a także następujące funkcje:

  • Obsługa replikacji rozproszonego systemu plików (DFS, Distributed File System) dla woluminu SYSVOL, która zapewnia bardziej niezawodną i szczegółową replikację zawartości woluminu SYSVOL. Skorzystanie z usługi Replikacja systemu plików DFS dla woluminu SYSVOL może wymagać wykonania dodatkowych kroków. Aby uzyskać więcej informacji, zobacz artykuł dotyczący usług plików (https://go.microsoft.com/fwlink/?LinkId=93167) (strona może zostać wyświetlona w języku angielskim).

  • Obsługa szyfrowania AES (Advanced Encryption Services, 128 i 256) dla protokołu Kerberos.

  • Funkcja informacji o ostatnim logowaniu interakcyjnym. Umożliwia ona wyświetlanie czasu ostatniego pomyślnego logowania interakcyjnego dla użytkownika z informacją o stacji roboczej, z której przeprowadzono logowanie, oraz o liczbie nieudanych prób logowania od czasu ostatniego logowania.

  • Szczegółowe zasady haseł, które pozwalają określać zasady haseł i blokowania kont dla użytkowników oraz globalnych grup zabezpieczeń w domenie.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny systemu Windows 2000 lokalnego, systemu Windows Server 2003 oraz systemu Windows Server 2008, a także następujące funkcje:

  • Gwarancja mechanizmu uwierzytelniania, w ramach której informacje dotyczące typu metody logowania (karta inteligentna lub nazwa użytkownika/hasło) używanej do uwierzytelniania użytkowników domeny są umieszczane w tokenie protokołu Kerberos każdego użytkownika. Po włączeniu tej funkcji w środowisku sieciowym, w którym wdrożono infrastrukturę do federacyjnego zarządzania tożsamościami, na przykład usługi Active Directory Federation Services (AD FS), informacje zawarte w tokenie mogą być wyodrębniane za każdym razem, gdy użytkownik próbuje uzyskać dostęp do aplikacji obsługującej oświadczenia, która określa autoryzację na podstawie metody logowania użytkownika.

Windows Server 2008 R2

Funkcje włączane na poziomach funkcjonalności lasu

W poniższej tabeli wymieniono włączone funkcje i obsługiwane systemy operacyjne kontrolera domeny dla każdego poziomu funkcjonalności lasu:

Poziom funkcjonalności lasu

Włączone funkcje

Obsługiwane systemy operacyjne kontrolera domeny

Windows 2000

Wszystkie domyślne funkcje usługi Active Directory

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Wszystkie domyślne funkcje usługi Active Directory oraz następujące funkcje:

  • Relacje zaufania lasów.

  • Zmienianie nazw domen.

  • Replikacja wartości połączonych (zmiany w magazynie informacji o członkostwie w grupach oraz replikowanie wartości dla indywidualnych elementów członkowskich zamiast replikowania całego członkostwa jako jednej jednostki). Dzięki temu można uzyskać mniejsze użycie przepustowości i procesora podczas replikacji oraz wyeliminować możliwość utraty aktualizacji w przypadku, gdy różne elementy członkowskie są równocześnie dodawane lub usuwane na różnych kontrolerach domeny.

  • Możliwość wdrażania kontrolera RODC.

  • Większa skalowalność i ulepszone algorytmy narzędzia sprawdzania spójności informacji. Generator topologii międzylokacyjnej (ISTG) używa ulepszonych algorytmów, które mogą być stosowane do obsługi lasów z większą liczbą lokacji, niż jest to możliwe na poziomie funkcjonalności lasu systemu Windows 2000.

  • Możliwość tworzenia wystąpień dynamicznej klasy pomocniczej o nazwie dynamicObject w partycji katalogu domeny.

  • Możliwość konwertowania wystąpienia obiektu klasy inetOrgPerson na wystąpienie obiektu klasy User i odwrotnie.

  • Możliwość tworzenia wystąpień nowych typów grup nazywanych grupami podstawowymi aplikacji oraz grup zapytań LDAP (Lightweight Directory Access Protocol) do obsługi autoryzacji opartej na rolach.

  • Możliwość dezaktywowania i ponownego definiowania atrybutów oraz klas w schemacie.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Wszystkie funkcje dostępne na poziomie funkcjonalności lasu systemu Windows Server 2003, ale bez żadnych dodatkowych funkcji. Jednak wszystkie domeny, które zostaną dodane do lasu działającego na poziomie funkcjonalności systemu Windows Server 2008, będą domyślnie działać na tym poziomie funkcjonalności domeny.

Jeśli jest planowane uwzględnienie tylko kontrolerów domeny z systemem Windows Server 2008 lub Windows Server 2008 R2 w całym lesie, można wybrać ten poziom funkcjonalności lasu w celu ułatwienia czynności administracyjnych.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Wszystkie funkcje dostępne na poziomie funkcjonalności lasu systemu Windows Server 2003, a także następująca funkcja:

  • Kosz umożliwiający przywracanie w całości usuniętych obiektów w czasie działania usług AD DS.

Wszystkie domeny, które zostaną dodane do lasu, będą domyślnie działać na poziomie funkcjonalności domeny systemu Windows Server 2008 R2.

Jeśli jest planowane uwzględnienie tylko kontrolerów domeny z systemem Windows Server 2008 R2 w całym lesie, można wybrać ten poziom funkcjonalności lasu w celu ułatwienia czynności administracyjnych. W takim przypadku nie będzie trzeba podnosić poziomu funkcjonalności dla każdej domeny utworzonej w tym lesie.

Windows Server 2008 R2

Spis treści