Förstå domän- och skogsfunktionalitet

Domän- och skogsfunktionalitet

Domän- och skogsfunktionalitet, som ingår i Windows Server® 2008 R2 Active Directory Domain Services (AD DS), är ett sätt att aktivera funktioner som omfattar hela domänen eller Active Directory-funktioner som omfattar hela skogen i nätverksmiljön. Olika nivåer av domänfunktionalitet och skogsfunktionalitet är tillgängliga, beroende på nätverksmiljön.

Om alla domänkontrollanter i domänen eller skogen kör Windows Server 2008 R2 och funktionalitetsnivån för domänen och skogen är inställd på Windows Server 2008 R2, är alla funktioner som gäller för hela domänen och alla funktioner som gäller för hela skogen tillgängliga. När domänen eller skogen innehåller Windows® 2000, Windows Server 2003 eller Windows Server 2008-domänkontrollanter, är Active Directory-funktioner begränsade. Mer information om hur du aktiverar funktioner som gäller för hela domänen eller funktioner som gäller för hela skogen finns i Öka funktionalitetsnivån för domäner och Öka funktionalitetsnivån för skogar.

Domänfunktionalitet

Domänfunktionalitet ger tillgång till funktioner som påverkar hela domänen, men endast den domänen. I Windows Server 2008 R2 AD DS finns det fyra domänfunktionalitetsnivåer: Windows 2000 enhetligt, Windows Server 2003 (standard) Windows Server 2008 och Windows Server 2008 R2.

I tabellen nedan listas domänfunktionalitetsnivåerna och motsvarande domänkontrollanter som stöds:

Domänfunktionalitetsnivå	Domänkontrollanter som stöds
Windows 2000 enhetligt	Windows 2000 Server Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	Windows Server 2008 R2

När du ökar domänfunktionalitetsnivån kan domänkontrollanter med tidigare operativsystem inte introduceras i domänen. Om du till exempel höjer domänfunktionalitetsnivån till Windows Server 2008 R2 kan du inte lägga till domänkontrollanter med Windows Server 2008 i domänen.

I tabellen nedan beskrivs funktionerna som gäller för hela domänen som är aktiverade för domänfunktionalitetsnivåerna i Windows Server 2008 R2 AD DS.

Funktionalitetsnivå för domän	Aktiverade funktioner
Windows 2000 enhetligt	Alla Active Directory-standardfunktioner och följande funktioner: Universella grupper är aktiverade för både distributionsgrupper och säkerhetsgrupper. Gruppinkapsling. Gruppkonvertering är aktiverat, vilket möjliggör konvertering mellan säkerhetsgrupper och distributionsgrupper. Historik för säkerhets-ID:n (SID).
Windows Server 2003	Alla Active Directory-standardfunktioner, alla funktioner från domänfunktionalitetsnivån för Windows 2000 enhetligt, plus följande funktioner: Möjligheten att förbereda för namnbyte för domänkontrollanten med domänhanteringsverktyget, Netdom.exe. Uppdatering av tidsstämpeln för inloggning. Attributet lastLogonTimestamp uppdateras med tiden för då användaren eller datorn loggade in senast. Det här attributet replikeras inom domänen. Möjlighet att ange attributet userPassword som det effektiva lösenordet för objektet inetOrgPerson och användarobjekt. Möjligheten att omdirigera behållarna Users och Computers. Som standard ingår två kända behållare som innehåller dator- och användar-/gruppkonton. cn=Computers,<domänrot> och cn=Users,<domänrot>. Med den här funktionen är det möjligt att definiera en ny känd plats för de här kontona. Auktoriseringshanteraren kan lagra auktoriseringsprinciperna i AD DS. Begränsad delegering ingår, vilket gör det möjligt att dra nytta av säkerhetsdelegeringen av användarautentiseringsuppgifter i program genom Kerberos-autentiseringsprotokollet. Du kan ange att delegering är tillåtet endast för vissa måltjänster. Selektiv autentisering stöds, vilket gör det möjligt att ange vilka användare och grupper från en betrodd skog som tillåts att autentisera på resursservrar i en skog med förtroende.
Windows Server 2008	Alla Active Directory-standardfunktioner, alla funktioner från domänfunktionalitetsnivån för Windows Server 2003, plus följande funktioner: Replikeringsstöd för distribuerade filsystem för SYSVOL, vilket ger en mer stabil och detaljerad replikering av SYSVOL-innehåll. Stöd för avancerade krypteringstjänster (AES 128 och 256) för Kerberos-autentiseringsprotokollet. Information om senaste interaktiva inloggning, vilket visar tiden för den senaste interaktiva inloggningen för en användare, från vilken arbetsstation och antalet misslyckade inloggningsförsök sedan den senaste inloggningen. Detaljerade lösenordsprinciper, som gör det möjligt att ange lösenordsprinciper och principer för kontolåsning för användare och globala säkerhetsgrupper i en domän.
Windows Server 2008 R2	Alla standardfunktioner i Active Directory, alla funktioner från domänfunktionalitetsnivån Windows Server 2008, plus följande funktioner: Säker autentiseringsmetod som paketerar information om typen av inloggningsmetod (smartkort eller användarnamn/lösenord) som används för att autentisera domänanvändare i varje användares Kerberos-token. När den här funktionen har aktiverats i en nätverksmiljö som har distribuerat en federerad infrastruktur för identitetshantering, t.ex. Active Directory Federation Services (AD FS), kan informationen i token sedan extraheras varje gång en användare försöker komma åt anspråksmedvetna program som har utvecklats för att kunna avgöra auktorisation baserat på en användares inloggningsmetod.

Skogsfunktionalitet

Skogsfunktionalitet medför funktioner för alla domäner i skogen. Det finns fyra skogsfunktionalitetsnivåer i Windows Server 2008 R2-operativsystemet: Windows 2000, Windows Server 2003 (standard) Windows Server 2008 och Windows Server 2008 R2.

I tabellen nedan listas skogsfunktionalitetsnivåerna som är tillgängliga i Windows Server 2008 R2-operativsystemet och motsvarande domänkontrollanter som stöds.

Skogsfunktionalitetsnivå	Domänkontrollanter som stöds
Windows 2000	Windows NT® 4.0 Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003 (standard)	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	Windows Server 2008 R2

När du ökar skogsfunktionalitetsnivån kan domänkontrollanter med tidigare operativsystem inte introduceras i skogen. Om du till exempel höjer skogsfunktionalitetsnivån till Windows Server 2008 R2 kan du inte lägga till domänkontrollanter som kör Windows Server 2008 i skogen.

I tabellen nedan beskrivs funktionerna som gäller för hela skogen som är aktiverade för skogsfunktionalitetsnivåerna Windows 2003, Windows Server 2008 och Windows Server 2008 R2.

Funktionalitetsnivå för skog	Funktioner som aktiveras
Windows Server 2003	Alla Active Directory-standardfunktioner, plus följande funktioner: Skogsförtroende Namnbyte för domän Replikering av länkade värden (ändras i gruppmedlemsskapsarkivet och replikerar värden för individuella medlemmar i stället för att replikera hela medlemsskapet som en enda enhet). Detta leder till lägre användning av nätverksbandbredd och processorkraft under replikeringen och eliminerar möjligheten att uppdateringar förloras när olika medlemmar läggs till eller tas bort samtidigt på olika domänkontrollanter. Möjligheten att distribuera en skrivskyddad domänkontrollant (RODC) med Windows Server 2008. Förbättrade algoritmer och högre skalbarhet för KCC (Knowledge Consistency Checker). I ISTG (Intersite Topology Generator) används förbättrade algoritmer som är skalbara vilket ger stöd för skogar med ett högre antal platser som kan användas på skogsfunktionalitetsnivån Windows 2000. Möjligheten att skapa instanser av den dynamiska tilläggsklassen som kallas dynamicObject på en domänkatalogpartition. Möjligheten att konvertera en inetOrgPerson-objektinstans till en User-objektinstans och tvärtom. Möjligheten att skapa instanser av de nya grupptyperna, som kallas enkla programgrupper och LDAP-frågegrupper (Lightweight Directory Access Protocol) vilket ger stöd för rollbaserad auktorisering. Inaktivering och omdefiniering av attribut och klasser i schemat.
Windows Server 2008	På den här funktionalitetsnivån innehåller alla funktioner som är tillgängliga på skogsfunktionalitetsnivån Windows Server 2003, men inga ytterligare funktioner. Alla domäner som sedan läggs till i skogen kommer dock att köras på domänfunktionalitetsnivån Windows Server 2008 som standard.
Windows Server 2008 R2	Alla funktioner som är tillgängliga för skogsfunktionalitetsnivån Windows Server 2003 och följande funktioner: Papperskorgen i Active Directory som gör att du kan återställa borttagna objekt i sin helhet medan AD DS körs. Alla domäner som senare läggs till i skogen fungerar som standard med domänfunktionalitetsnivån Windows Server 2008 R2. Om du endast vill använda domänkontrollanter med Windows Server 2008 R2 i hela skogen kan du välja den här skogsfunktionalitetsnivån för att underlätta administrationen. Om du gör detta behöver du aldrig höja domänfunktionalitetsnivån för varje domän du skapar i skogen.

Funktionalitetsnivå för skog

Funktioner som aktiveras

Windows Server 2003

Alla Active Directory-standardfunktioner, plus följande funktioner:

Skogsförtroende
Namnbyte för domän
Replikering av länkade värden (ändras i gruppmedlemsskapsarkivet och replikerar värden för individuella medlemmar i stället för att replikera hela medlemsskapet som en enda enhet). Detta leder till lägre användning av nätverksbandbredd och processorkraft under replikeringen och eliminerar möjligheten att uppdateringar förloras när olika medlemmar läggs till eller tas bort samtidigt på olika domänkontrollanter.
Möjligheten att distribuera en skrivskyddad domänkontrollant (RODC) med Windows Server 2008.
Förbättrade algoritmer och högre skalbarhet för KCC (Knowledge Consistency Checker). I ISTG (Intersite Topology Generator) används förbättrade algoritmer som är skalbara vilket ger stöd för skogar med ett högre antal platser som kan användas på skogsfunktionalitetsnivån Windows 2000.
Möjligheten att skapa instanser av den dynamiska tilläggsklassen som kallas dynamicObject på en domänkatalogpartition.
Möjligheten att konvertera en inetOrgPerson-objektinstans till en User-objektinstans och tvärtom.
Möjligheten att skapa instanser av de nya grupptyperna, som kallas enkla programgrupper och LDAP-frågegrupper (Lightweight Directory Access Protocol) vilket ger stöd för rollbaserad auktorisering.
Inaktivering och omdefiniering av attribut och klasser i schemat.

Windows Server 2008

På den här funktionalitetsnivån innehåller alla funktioner som är tillgängliga på skogsfunktionalitetsnivån Windows Server 2003, men inga ytterligare funktioner. Alla domäner som sedan läggs till i skogen kommer dock att köras på domänfunktionalitetsnivån Windows Server 2008 som standard.

Windows Server 2008 R2

Alla funktioner som är tillgängliga för skogsfunktionalitetsnivån Windows Server 2003 och följande funktioner:

Papperskorgen i Active Directory som gör att du kan återställa borttagna objekt i sin helhet medan AD DS körs.

Alla domäner som senare läggs till i skogen fungerar som standard med domänfunktionalitetsnivån Windows Server 2008 R2.

Om du endast vill använda domänkontrollanter med Windows Server 2008 R2 i hela skogen kan du välja den här skogsfunktionalitetsnivån för att underlätta administrationen. Om du gör detta behöver du aldrig höja domänfunktionalitetsnivån för varje domän du skapar i skogen.

Ytterligare referenser

Hantera domäner och skogar

Förstå domän- och skogsfunktionalitet

Domän- och skogsfunktionalitet

Domänfunktionalitet

Skogsfunktionalitet

Ytterligare referenser

Innehåll