Функциональные возможности домена и леса

Функциональные возможности домена и леса, которые доступны в доменных службах Active Directory (AD DS) Windows Server® 2008 R2, позволяют включать в сетевой среде возможности Active Directory уровня домена или леса. В зависимости от сетевой среды доступны различные режимы работы домена и леса.

Если все контроллеры домена в домене или лесу работают под управлением Windows Server 2008 R2 и задан режим работы домена и леса Windows Server 2008 R2, то доступны все возможности как уровня домена, так и уровня леса. Если домен или лес содержит контроллеры домена Windows 2000, Windows Server 2003 или Windows Server 2008, возможности Active Directory ограничены. Дополнительные сведения о включении возможностей уровня домена или леса см. в разделах Повышение режима работы домена и Повышение режима работы леса.

Функциональные возможности домена

Функциональные возможности домена включают функции, которые влияют на весь этот домен. В AD DS Windows Server 2008 R2 доступны четыре режима работы домена: основной режим Windows 2000, Windows Server 2003 (по умолчанию), Windows Server 2008 и Windows Server 2008 R2.

В следующей таблице перечислены режимы работы домена и соответствующие поддерживаемые контроллеры домена.

Режим работы домена Поддерживаемые контроллеры домена

Основной режим Windows 2000

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

При повышении режима работы домена контроллеры домена, работающие под управлением более ранних операционных систем, нельзя включить в домен. Например, при повышении режима работы домена до Windows Server 2008 R2 в этот домен нельзя будет добавить контроллеры домена, работающие под управлением Windows Server 2008.

В следующей таблице описаны возможности уровня домена, которые включены для режимов работы домена AD DS Windows Server 2008 R2.

Режим работы домена Включенные возможности

Windows 2000 (основной режим)

Все возможности Active Directory по умолчанию и следующие возможности:

  • универсальные группы включены как для групп рассылки, так и для групп безопасности;

  • вложение групп;

  • включено преобразование групп; возможно преобразование между группами безопасности и группами рассылки;

  • журнал идентификатора безопасности (SID).

Windows Server 2003

Все возможности Active Directory по умолчанию, все возможности основного режима работы домена Windows 2000 и следующие возможности:

  • доступность средства управления доменом, Netdom.exe, для переименования контроллера домена;

  • обновление штампа времени входа. Атрибут lastLogonTimestamp обновляется с учетом времени последнего входа пользователя или компьютера. Этот атрибут реплицируется внутри домена;

  • возможность задания атрибута userPassword как эффективного пароля на объекте inetOrgPerson и объектах пользователей;

  • возможность перенаправления контейнеров «Пользователи» и «Компьютеры». По умолчанию для размещения учетных записей компьютеров и учетных записей пользователей или групп предоставляются два известных контейнера: cn=Computers,<корневой_каталог_домена> и cn=Users,<корневой_каталог_домена>. Данное средство позволяет определять для этих учетных записей новое известное местоположение;

  • диспетчер авторизации может хранить свои политики авторизации в AD DS;

  • включено ограниченное делегирование; приложения могут использовать безопасное делегирование учетных данных пользователей с помощью протокола проверки подлинности Kerberos. Можно включить делегирование только для отдельных служб назначения;

  • поддерживается выборочная проверка подлинности; можно задать пользователей и группы из доверенного леса, которым разрешена проверка подлинности на серверах ресурсов в доверяющем лесу.

Windows Server 2008

Все возможности Active Directory по умолчанию, все возможности из режима работы домена Windows Server 2003 и следующие возможности:

  • поддержка репликации распределенной файловой системы для SYSVOL, которая обеспечивает более надежную и управляемую репликацию содержимого SYSVOL;

  • поддержка расширенного стандарта шифрования (AES 128 и 256) для протокола проверки подлинности Kerberos;

  • информация о последнем интерактивном входе в систему, которая отображает время последнего успешного интерактивного входа пользователя, рабочую станцию, с которой был выполнен вход, и число неудачных попыток входа после последнего входа;

  • детальные политики паролей; можно задавать политики паролей и политики блокирования учетных записей для пользователей и глобальных групп безопасности в домене.

Windows Server 2008 R2

Все стандартные возможности Active Directory, все возможности режима работы Windows Server 2008 плюс следующие возможности:

  • Механизм проверки подлинности, комплектующий сведения о типе метода входа в систему (смарт-карта или имя пользователя и пароль), используемом для проверки подлинности пользователей домена в каждом токене Kerberos пользователя. Если эта возможность включена в сетевой среде, которая развернула инфраструктуру по управлению федеративной идентификацией, например службы федерации Active Directory (AD FS), данные в токене можно извлечь при каждой попытке пользователя получить доступ к поддерживающему утверждения приложению, которое было разработано для определения проверки подлинности на основе метода входа пользователя.

Функциональные возможности леса

Функциональные возможности леса включают возможности во всех доменах в лесу. В операционной системе Windows Server 2008 R2 доступны четыре режима работы леса: Windows 2000, Windows Server 2003 (по умолчанию), Windows Server 2008 и Windows Server 2008 R2.

В следующей таблице перечислены режимы работы леса, существующие в операционной системе Windows Server 2008 R2, и соответствующие поддерживаемые контроллеры домена.

Режим работы леса Поддерживаемые контроллеры домена

Windows 2000

Windows NT® 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (по умолчанию)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

При повышении режима работы леса контроллеры домена, работающие под управлением более ранних операционных систем, нельзя включить в лес. Например, при повышении режима работы леса до Windows Server 2008 R2 в этот лес нельзя будет добавить контроллеры домена, работающие под управлением Windows Server 2008.

В следующей таблице описаны возможности уровня леса, которые включены для режимов работы леса Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2.

Режим работы леса Доступные возможности

Windows Server 2003

Все возможности Active Directory по умолчанию и следующие возможности:

  • доверие леса;

  • переименование домена;

  • репликация связанного значения (изменения хранилища членства в группах и репликация значений отдельных членов вместо репликации всего членства как отдельного элемента). В результате снижается нагрузка на пропускную способность сети и процессор при репликации и исключается возможность потери обновлений при одновременном добавлении или удалении членов на разных контроллерах домена;

  • возможность развертывания только для чтения (RODC) контроллера домена, работающего под управлением Windows Server 2008;

  • улучшенные алгоритмы и масштабируемость проверки согласованности знаний (KCC). Генератор межсайтовой топологии (ISTG) использует улучшенные алгоритмы, которые выполняют масштабирование для поддержки лесов с большим количеством сайтов, чем при режиме работы леса Windows 2000;

  • возможность создания экземпляров динамического вспомогательного класса, называемых dynamicObject, в разделе каталога домена;

  • возможность преобразования экземпляра объекта inetOrgPerson в экземпляр объекта пользователя и обратно;

  • возможность создания экземпляров новых типов групп, называемых основными группами приложений и группами запросов протокола LDAP (Lightweight Directory Access Protocol), для поддержки авторизации, основанной на ролях;

  • деактивация и переопределение атрибутов и классов схемы.

Windows Server 2008

Этот режим работы предоставляет все возможности, доступные при режиме работы леса Windows Server 2003, но не дополнительные возможности. Однако все домены, в дальнейшем добавляемые к лесу, будут по умолчанию работать в режиме работы домена Windows Server 2008.

Windows Server 2008 R2

Все возможности, доступные в режиме работы леса Windows Server 2003, плюс следующие возможности:

  • Корзина Active Directory, позволяющая восстанавливать удаленные объекты во время выполнения AD DS.

Все домены, впоследствии добавленные в лес, по умолчанию будут работать в режиме работы домена Windows Server 2008 R2.

Если планируется использовать во всем лесу только контроллеры домена с операционной системой Windows Server 2008 R2, для удобства администрирования можно выбрать этот режим работы леса. В этом случае не понадобится повышать режим работы домена ни для каких доменов, создаваемых в лесу.

Дополнительные ссылки


Содержание