Funcionalidade de domínio e de floresta

A funcionalidade de domínio e de floresta, disponível no AD DS (Serviços de Domínio Active Directory) do Windows Server® 2008 R2, fornece uma maneira de ativar os recursos de domínio ou de floresta do Active Directory no ambiente de rede. Há diferentes níveis de funcionalidade de domínio e de floresta disponíveis, dependendo do ambiente de rede.

Se todos os controladores de domínio no seu domínio ou floresta estiverem executando o Windows Server 2008 R2 e o nível funcional de domínio e de floresta estiver definido como Windows Server 2008 R2, todos os recursos de domínio e de floresta estarão disponíveis. Quando seu domínio ou floresta contiver controladores de domínio do Windows® 2000, do Windows Server 2003 ou do Windows Server 2008, os recursos do Active Directory serão limitados. Para obter mais informações sobre como habilitar os recursos de domínio ou de floresta, consulte Aumentar o nível funcional do domínio e Aumentar o nível funcional da floresta.

Funcionalidade de domínio

A funcionalidade de domínio habilita os recursos que afetam todo o domínio e somente ele. No Windows Server 2008 R2 AD DS, há quatro níveis funcionais de domínio disponíveis: Windows 2000 nativo, Windows Server 2003 (o padrão), Windows Server 2008 e Windows Server 2008 R2.

A tabela a seguir lista os níveis funcionais de domínio e os controladores de domínio correspondentes que possuem suporte:

Nível funcional do domínio Controladores de domínio com suporte

Windows 2000 nativo

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Quando você aumenta o nível funcional de domínio, os controladores de domínio executando sistemas operacionais anteriores não podem ser introduzidos no domínio. Por exemplo, se você aumentar o nível funcional de domínio para o Windows Server 2008 R2, não poderá adicionar controladores de domínio executando o Windows Server 2008 ao domínio.

A tabela a seguir descreve os recursos de domínio que são ativados para os níveis funcionais de domínio no AD DS do Windows Server 2008 R2.

Nível funcional do domínio Recursos habilitados

Windows 2000 nativo

Todos os recursos padrão do Active Directory e os seguintes recursos:

  • Os grupos universais são habilitados para grupos de distribuição e grupos de segurança.

  • Aninhamento de grupo.

  • A conversão de grupos é habilitada, tornando possível a conversão entre grupos de segurança e grupos de distribuição.

  • Histórico de identificador de segurança (SID)

Windows Server 2003

Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows 2000 nativo, além destes:

  • A disponibilidade da ferramenta de gerenciamento de domínio, Netdom.exe, para se preparar para renomear o controlador de domínio.

  • Atualização do carimbo de data/hora de logon. O atributo lastLogonTimestamp é atualizado com o último horário de logon do usuário ou computador. Este atributo é replicado no domínio.

  • A capacidade de definir o atributo userPassword como a senha efetiva no objeto inetOrgPerson e nos objetos de usuário.

  • A capacidade de redirecionar contêineres de Usuários e Computadores. Por padrão, dois contêineres conhecidos são fornecidos para hospedar contas de computador e usuário/grupo: cn=Computadores,<raiz do domínio> e cn=Usuários,<raiz do domínio>. Esse recurso possibilita a definição de um novo local conhecido para essas contas.

  • O Gerenciador de Autorização pode armazenar as diretivas de autorização no AD DS.

  • A delegação limitada é incluída, o que possibilita aos aplicativos tirarem vantagem da delegação segura de credenciais de usuário por meio do protocolo de autenticação Kerberos. Você pode configurar a delegação para que tenha permissão somente para determinados serviços de destino.

  • A autenticação seletiva possui suporte, o que torna possível especificar os usuários e grupos de uma floresta confiável que terão permissão para autenticar servidores de recursos em uma floresta confiante.

Windows Server 2008

Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows Server 2003, além destes:

  • Suporte à Replicação do Sistema de Arquivos Distribuídos para SYSVOL, o que fornece uma replicação mais robusta e detalhada do conteúdo de SYSVOL.

  • Serviços de Criptografia Avançados (AES 128 e 256), suporte ao protocolo de autenticação Kerberos.

  • Últimas Informações de Logon Interativo, que mostram o horário do último logon interativo bem-sucedido de um usuário, a estação de trabalho que o originou e as falhas nas tentativas de logon desde o último logon.

  • Diretivas de senha refinadas, que possibilitam que as diretivas de senha e de bloqueio de conta sejam especificadas para usuários e grupos de segurança globais em um domínio.

Windows Server 2008 R2

Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows Server 2008, além dos seguintes recursos:

  • Garantia do mecanismo de autenticação, que agrupa informações sobre o tipo do método de logon (cartão inteligente ou nome de usuário/senha) usado para autenticar os usuários de domínio dentro do token Kerberos de cada usuário. Quando esse recurso é ativado em um ambiente de rede que implantou uma infraestrutura de gerenciamento de identidade federado, como o AD FS (Serviços de federação do Active Directory), as informações no token podem ser extraídas sempre que um usuário tentar acessar quaisquer aplicativos com reconhecimento de declarações desenvolvidos para determinar a autorização com base no método de logon de um usuário.

Funcionalidade de floresta

A funcionalidade de floresta habilita os recursos em todos os domínios da floresta. Existem quatro níveis funcionais de floresta disponíveis no sistema operacional Windows Server 2008 R2: Windows 2000, Windows Server 2003 (padrão), Windows Server 2008 e Windows Server 2008 R2.

A seguinte tabela lista os níveis funcionais de floresta disponíveis no sistema operacional Windows Server 2008 R2 e em seus controladores de domínio correspondentes suportados.

Nível funcional de floresta Controladores de domínio com suporte

Windows 2000

Windows NT® 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (padrão)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Quando você aumenta o nível funcional de floresta, os controladores de domínio executando sistemas operacionais anteriores não podem ser introduzidos na floresta. Por exemplo, se você aumentar o nível funcional de floresta para o Windows Server 2008 R2, os controladores de domínio executando o Windows Server 2008 não poderão ser adicionados à floresta.

A tabela a seguir descreve os recursos de floresta ativados para os níveis funcionais de floresta do Windows Server 2003, do Windows Server 2008 e do Windows Server 2008 R2.

Nível funcional de floresta Recursos habilitados

Windows Server 2003

Todos os recursos padrão do Active Directory, além destes:

  • Relação de confiança da floresta

  • Renomeação de domínio

  • Replicação de valor vinculado (altera o armazenamento de associação de grupo e replica valores para membros individuais, em vez de replicar a associação inteira como uma única unidade) Isso resulta na redução da largura de banda de rede e de uso do processador durante a replicação e elimina a possibilidade de atualizações perdidas quando diferentes membros são adicionados ou removidos simultaneamente em diferentes controladores de domínio.

  • A capacidade de implantar um RODC (controlador de domínio somente leitura) que execute o Windows Server 2008.

  • Algoritmos e escalabilidade aprimoradas do KCC (Knowledge Consistency Checker). O gerador de topologia entre sites (ISTG) usa algoritmos aprimorados que são dimensionados para oferecer suporte a florestas com maior número de sites que podem ser suportados no nível funcional de floresta do Windows 2000.

  • A capacidade de criar instâncias da classe auxiliar dinâmica chamada dynamicObject em uma partição do diretório de domínio.

  • A capacidade de converter uma instância do objeto inetOrgPerson em uma instância do objeto User, e vice-versa.

  • A capacidade de criar instâncias dos novos tipos de grupos, chamados grupos de aplicativos básicos e grupos de consulta do protocolo LDAP para oferecer suporte à autorização baseada em função.

  • Desativação e redefinição de atributos e classes no esquema.

Windows Server 2008

Esse nível funcional fornece todos os recursos disponíveis no nível funcional de floresta do Windows Server 2003, mas nenhum recurso adicional. Entretanto, todos os domínios que forem adicionados subsequentemente à floresta funcionarão no nível funcional de floresta de domínio Windows Server 2008 por padrão.

Windows Server 2008 R2

Todos os recursos disponíveis no nível funcional de floresta do Windows Server 2003, além dos seguintes recursos.

  • Lixeira do Active Directory, que fornece a capacidade de restaurar totalmente os objetos excluídos durante a execução do AD DS.

Todos os domínios adicionados subsequentemente à floresta funcionarão no nível funcional de domínio Windows Server 2008 R2 por padrão.

Se você planeja incluir somente controladores de domínio que executem o Windows Server 2008 R2 na floresta inteira, deverá escolher este nível funcional de floresta para conveniência administrativa. Se o fizer, você nunca terá que elevar o nível funcional de cada domínio que criar na floresta.

Referências adicionais

Sumário