Funkcjonalność domeny i lasu

Funkcjonalność domeny i lasu, która jest dostępna w usługach domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) w systemie Windows Server® 2008 R2, umożliwia stosowanie w środowisku sieciowym funkcji usługi Active Directory działających w całej domenie lub w całym lesie. W zależności od środowiska sieciowego są dostępne różne poziomu funkcjonalności domeny i lasu.

Jeśli wszystkie kontrolery domeny w domenie lub w lesie mają uruchomiony system Windows Server 2008 R2, a poziom funkcjonalności domeny i lasu jest ustawiony na poziom systemu Windows Server 2008 R2 wszystkie funkcje działające w całej domenie i w całym lesie są dostępne. Jeśli domena lub las zawiera kontrolery domeny z systemami Windows® 2000, Windows Server 2003 lub Windows Server 2008, funkcje usługi Active Directory są ograniczone. Aby uzyskać więcej informacji o sposobie włączania funkcji działających w całej domenie lub w całym lesie, zobacz tematy Podnoszenie poziomu funkcjonalności domeny oraz Podnoszenie poziomu funkcjonalności lasu.

Funkcjonalność domeny

Funkcjonalność domeny umożliwia włączenie funkcji mających wpływ na działanie całej domeny i tylko jej. W usługach domenowych w usłudze AD systemu Windows Server 2008 R2 są dostępne cztery poziomy funkcjonalności domeny: Windows 2000 lokalny, Windows Server 2003 (domyślny), Windows Server 2008 oraz Windows Server 2008 R2.

W poniżej tabeli wymieniono poziomy funkcjonalności domeny i odpowiadające im obsługiwane kontrolery domeny:

Poziom funkcjonalności domeny Obsługiwane kontrolery domeny

Windows 2000 lokalny

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Gdy poziom funkcjonalności domeny zostanie podniesiony, do domeny nie będzie można wprowadzać kontrolerów domeny z systemami operacyjnymi w wersjach wcześniejszych. Na przykład, jeśli poziom funkcjonalności domeny zostanie podniesiony do poziomu systemu Windows Server 2008 R2, nie będzie można dodawać do takiej domeny kontrolerów domeny z systemem Windows Server 2008.

W poniższej tabeli opisano funkcje działające w całej domenie, które są włączone dla poziomów funkcjonalności domeny usług domenowych w usłudze AD systemu Windows Server 2008 R2.

Poziom funkcjonalności domeny Włączone funkcje

Windows 2000 lokalny

Wszystkie domyślne funkcje usługi Active Directory oraz następujące funkcje:

  • Są włączone grupy uniwersalne - zarówno dla grup dystrybucyjnych, jak i grup zabezpieczeń.

  • Zagnieżdżanie grup.

  • Jest włączona konwersja grup, co umożliwia konwertowanie między grupami zabezpieczeń a grupami dystrybucyjnymi.

  • Historia identyfikatorów zabezpieczeń SID.

Windows Server 2003

Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny Windows 2000 lokalny, a także następujące funkcje:

  • Możliwość używania narzędzia do zarządzania domeną Netdom.exe w celu przeprowadzania przygotowań do zmiany nazwy kontrolera domeny.

  • Aktualizowanie sygnatury czasowej logowania. Atrybut lastLogonTimestamp jest aktualizowany z użyciem czasu ostatniego logowania użytkownika lub komputera. Ten atrybut jest replikowany w obrębie domeny.

  • Możliwość ustawiania atrybutu userPassword jako działającego hasła dla obiektu inetOrgPerson i obiektów użytkowników.

  • Możliwość przekierowywania kontenerów Użytkownicy i Komputery. Domyślnie do przechowywania kont komputerów i kont grup/użytkowników są stosowane dwa dobrze znane kontenery: cn=Komputery,<katalog_główny_domeny> oraz cn=Użytkownicy,<katalog_główny_domeny>. Dzięki tej funkcji można zdefiniować nową dobrze znaną lokalizację dla tych kont.

  • Menedżer autoryzacji może przechowywać swoje zasady autoryzacji w usługach AD DS.

  • Jest dołączone delegowanie ograniczeń, co umożliwia aplikacjom korzystanie z bezpiecznego delegowania poświadczeń użytkowników przy użyciu protokołu uwierzytelniania Kerberos. Delegowanie można skonfigurować tak, aby było dozwolone tylko dla określonych usług docelowych.

  • Jest obsługiwane uwierzytelnianie selektywne, co umożliwia określanie użytkowników i grup z lasu zaufanego, w przypadku których jest dozwolone uwierzytelnianie na serwerach zasobów w lesie ufającym.

Windows Server 2008

Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny Windows Server 2003, a także następujące funkcje:

  • Obsługa replikacji rozproszonego systemu plików dla woluminu SYSVOL - bardziej niezawodna i szczegółowa replikacja zawartości woluminu SYSVOL.

  • Obsługa szyfrowania AES (Advanced Encryption Services, 128 i 256) dla protokołu uwierzytelniania Kerberos.

  • Funkcja informacji o ostatnim logowaniu interakcyjnym. Umożliwia ona wyświetlanie czasu ostatniego pomyślnego logowania interakcyjnego dla użytkownika z informacją o stacji roboczej, z której przeprowadzono logowanie, oraz o liczbie nieudanych prób logowania od czasu ostatniego logowania.

  • Szczegółowe zasady haseł, które pozwalają określać zasady haseł i zasady blokownia kont dla użytkowników oraz globalnych grup zabezpieczeń w domenie.

Windows Server 2008 R2

Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje z poziomu funkcjonalności domeny systemu Windows Server 2008, a także następujące funkcje:

  • Gwarancja mechanizmu uwierzytelniania, dzięki której informacje dotyczące typu metody logowania (karta inteligentna lub nazwa użytkownika/hasło) używanej do uwierzytelniania użytkowników domeny są umieszczane w tokenie protokołu Kerberos każdego użytkownika. Po włączeniu tej funkcji w środowisku sieciowym, w którym wdrożono infrastrukturę do federacyjnego zarządzania tożsamościami, na przykład usługi Active Directory Federation Services (AD FS), informacje zawarte w tokenie mogą być wyodrębniane za każdym razem, gdy użytkownik próbuje uzyskać dostęp do aplikacji obsługującej oświadczenia, która określa autoryzację na podstawie metody logowania użytkownika.

Funkcjonalność lasu

Funkcjonalność lasu umożliwia włączenie funkcji działających we wszystkich domenach w lesie. W systemie operacyjnym Windows Server 2008 R2 są dostępne cztery poziomy funkcjonalności lasu: Windows 2000, Windows Server 2003 (domyślny), Windows Server 2008 i Windows Server 2008 R2.

W poniższej tabeli wymieniono poziomy funkcjonalności lasu dostępne w systemie Windows Server 2008 R2 i odpowiadające im obsługiwane kontrolery domeny.

Poziom funkcjonalności lasu Obsługiwane kontrolery domeny

Windows 2000

Windows NT® 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (domyślny)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Gdy poziom funkcjonalności lasu zostanie podniesiony, do lasu nie będzie można wprowadzać kontrolerów domeny z systemami operacyjnymi w wersjach wcześniejszych. Na przykład po podniesieniu poziomu funkcjonalności lasu do poziomu systemu Windows Server 2008 R2 nie będzie można dodawać do lasu kontrolerów domeny z systemem Windows Server 2008.

W poniższej tabeli opisano funkcje działające w całym lesie, które są włączone dla poziomów funkcjonalności lasu systemów Windows Server 2003, Windows Server 2008 i Windows Server 2008 R2.

Poziom funkcjonalności lasu Włączone funkcje

Windows Server 2003

Wszystkie domyślne funkcje usługi Active Directory oraz następujące funkcje:

  • Relacje zaufania lasów.

  • Zmienianie nazw domen.

  • Replikacja wartości połączonych (zmiany w magazynie informacji o członkostwie w grupach oraz replikowanie wartości dla indywidualnych elementów członkowskich zamiast replikowania całego członkostwa jako pojedynczej jednostki). Dzięki temu można uzyskać mniejsze zużycie pasma i procesora podczas replikacji oraz wyeliminować możliwość utraty aktualizacji w przypadku, gdy różne elementy członkowskie są dodawane i usuwane jednocześnie na różnych kontrolerach domeny.

  • Możliwość wdrożenia kontrolera domeny tylko do odczytu (RODC) z systemem Windows Server 2008.

  • Większa skalowalność i ulepszone algorytmy narzędzia sprawdzania spójności informacji. Generator topologii międzylokacyjnej (ISTG) używa ulepszonych algorytmów, które mogą być stosowane do obsługi lasów z większą liczbą lokacji, niż jest to możliwe na poziomie funkcjonalności lasu systemu Windows 2000.

  • Możliwość tworzenia wystąpień dynamicznej klasy pomocniczej o nazwie dynamicObject w partycji katalogu domeny.

  • Możliwość konwertowania wystąpienia obiektu klasy inetOrgPerson na wystąpienie obiektu klasy User i odwrotnie.

  • Możliwość tworzenia wystąpień nowych typów grup nazywanych grupami podstawowymi aplikacji oraz grup zapytań LDAP (Lightweight Directory Access Protocol) do obsługi autoryzacji opartej na rolach.

  • Możliwość dezaktywowania i ponownego definiowania atrybutów oraz klas w schemacie.

Windows Server 2008

Ten poziom funkcjonalności oferuje wszystkie funkcje dostępne na poziomie funkcjonalności sytemu Windows Server 2003 - bez żadnych dodatkowych funkcji. Jednak wszystkie domeny, które zostaną dodane do lasu działającego na poziomie funkcjonalności systemu Windows Server 2008, będą domyślnie działać na tym poziomie funkcjonalności domeny.

Windows Server 2008 R2

Wszystkie funkcje dostępne na poziomie funkcjonalności lasu systemu Windows Server 2003, a także następujące funkcje:

  • Kosz usługi Active Directory umożliwiający przywracanie w całości usuniętych obiektów w czasie działania usług domenowych w usłudze AD.

Wszystkie domeny, które zostaną dodane do lasu, będą domyślnie działać na poziomie funkcjonalności domeny systemu Windows Server 2008 R2.

Jeśli jest planowane uwzględnienie tylko kontrolerów domeny z systemem Windows Server 2008 R2 w całym lesie, można wybrać ten poziom funkcjonalności lasu w celu ułatwienia czynności administracyjnych. Wówczas nie trzeba podnosić poziomu funkcjonalności dla każdej domeny utworzonej w lesie.

Dodatkowe informacje


Spis treści