Förstå domän- och skogsfunktionalitet

Domän- och skogsfunktionalitet

Domän- och skogsfunktionalitet, som ingår i Windows Server 2008 R2 Active Directory Domain Services (AD DS), är ett sätt att aktivera Active Directory-funktioner som omfattar hela domänen eller skogen i nätverksmiljön. Olika nivåer av domänfunktionalitet och skogsfunktionalitet är tillgängliga, beroende på nätverksmiljön.

Om alla domänkontrollanter i domänen eller skogen kör Windows Server 2008 R2 och funktionalitetsnivåerna för domänen och skogen är inställda på Windows Server 2008 R2, är alla funktioner som gäller för hela domänen och för hela skogen tillgängliga. När domänen eller skogen innehåller Windows 2000, Windows Server 2003 eller Windows Server 2008-domänkontrollanter, är Active Directory-funktionerna begränsade. Mer information om hur du aktiverar funktioner som gäller för hela domänen eller funktioner som gäller för hela skogen finns i Öka domänens funktionalitetsnivå och Öka skogens funktionalitetsnivå.

Domänfunktionalitet

Domänfunktionalitet ger tillgång till funktioner som påverkar hela domänen, men endast den domänen. I Windows Server 2008 R2 AD DS finns det fyra domänfunktionalitetsnivåer: Windows 2000 enhetligt, Windows Server 2003 (standard) Windows Server 2008 och Windows Server 2008 R2.

I tabellen nedan listas domänfunktionalitetsnivåerna och motsvarande domänkontrollanter som stöds.

Funktionalitetsnivå för domän	Domänkontrollanter som stöds
Windows 2000 enhetligt	Windows 2000 Server Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	Windows Server 2008 R2

När du ökar domänfunktionalitetsnivån kan domänkontrollanter med tidigare operativsystem inte introduceras i domänen. Om du till exempel höjer domänfunktionalitetsnivån till Windows Server 2008 R2 kan du inte lägga till domänkontrollanter med Windows Server 2008 i domänen.

I tabellen nedan beskrivs funktionerna som gäller för hela domänen som är aktiverade för domänfunktionalitetsnivåerna i Windows Server 2008 R2 AD DS.

Funktionalitetsnivå för domän	Funktioner som aktiveras
Windows 2000 enhetligt	Alla Active Directory-standardfunktioner och följande funktioner: Universella grupper är aktiverade för både distributionsgrupper och säkerhetsgrupper. Gruppinkapsling. Gruppkonvertering är aktiverat, vilket möjliggör konvertering mellan säkerhetsgrupper och distributionsgrupper. Historik för säkerhets-ID:n (SID).
Windows Server 2003	Alla standardfunktioner i Active Directory, alla funktioner från domänfunktionalitetsnivån Windows 2000 enhetligt, plus följande funktioner: Möjligheten att förbereda för namnbyte för domänkontrollanten med domänhanteringsverktyget, Netdom.exe. Uppdatering av tidsstämpeln för inloggning. Attributet lastLogonTimestamp uppdateras med tiden för då användaren eller datorn loggade in senast. Det här attributet replikeras inom domänen. Möjlighet att ange attributet userPassword som det effektiva lösenordet för objektet inetOrgPerson och användarobjekt. Möjligheten att omdirigera behållarna Users och Computers. Som standard tillhandahålls två välkända behållare för dator- och användar/gruppkonton: cn=Datorer,<domänrot> och cn=Användare,<domänrot>. Med den här funktionen är det möjligt att definiera en ny känd plats för de här kontona. Auktoriseringshanterarens auktoriseringsprinciper kan lagras i AD DS. Begränsad delegering ingår, vilket gör det möjligt att dra nytta av säkerhetsdelegeringen av användarautentiseringsuppgifter i program genom Kerberos-autentiseringsprotokollet. Du kan konfigurera inställningar så att delegering endast tillåts för angivna måltjänster. Selektiv autentisering stöds, vilket gör det möjligt att ange vilka användare och grupper från en betrodd skog som tillåts att autentisera på resursservrar i en skog med förtroende.
Windows Server 2008	Alla Active Directory-standardfunktioner, alla funktioner från domänfunktionalitetsnivån för Windows Server 2003, plus följande funktioner: Funktioner för DFS-replikering (Distributed File System) för SYSVOL, vilket ger mer robust och detaljerad replikering av SYSVOL-innehåll. Stöd för avancerade krypteringstjänster (AES 128 och 256) för Kerberos-autentiseringsprotokollet. Information om den senaste interaktiva inloggningen vilket innebär att tidpunkten för den senaste interaktiva inloggningen för en användare visas, samt vilken arbetsstation inloggningen gjordes från. Dessutom visas antalet misslyckade inloggningsförsök sedan den senaste inloggningen. Detaljerade lösenordsprinciper (FGPP) som gör det möjligt att ange lösenordsprinciper och principer för kontolåsning för användare och globala säkerhetsgrupper i en domän.
Windows Server 2008 R2	Alla standardfunktioner i Active Directory, alla funktioner från domänfunktionalitetsnivån Windows Server 2008, plus följande funktioner: Säker autentiseringsmetod som paketerar information om typen av inloggningsmetod (smartkort eller användarnamn/lösenord) som används för att autentisera domänanvändare i varje användares Kerberos-token. När funktionen är aktiverad i en nätverksmiljö som distribuerar en management-infrastruktur med federerade identiteter, t.ex. AD FS (Active Directory Federation Services), kan informationen i ett token extraheras när en användare försöker komma åt ett anspråksmedvetet program som har utvecklats för att avgöra autentisering baserat på en användares inloggningsmetod.

Skogsfunktionalitet

Skogsfunktionalitet medför funktioner för alla domäner i skogen. Det finns fyra skogsfunktionalitetsnivåer i Windows Server 2008 R2-operativsystemet: Windows 2000, Windows Server 2003 (standard) Windows Server 2008 och Windows Server 2008 R2.

I tabellen nedan listas skogsfunktionalitetsnivåerna som är tillgängliga i Windows Server 2008 R2 och motsvarande domänkontrollanter som stöds.

Funktionalitetsnivå för skog	Domänkontrollanter som stöds
Windows 2000 Server	Windows NT 4.0 Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003 (standard)	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	Windows Server 2008 R2

När du ökar skogsfunktionalitetsnivån kan domänkontrollanter med tidigare operativsystem inte introduceras i skogen. Om du till exempel höjer skogsfunktionalitetsnivån till Windows Server 2008 R2 kan du inte lägga till domänkontrollanter som kör Windows Server 2008 i skogen.

I tabellen nedan beskrivs funktionerna som gäller för hela skogen som är aktiverade för skogsfunktionalitetsnivåerna i Windows Server 2008 R2 AD DS.

Funktionalitetsnivå för skog	Funktioner som aktiveras
Windows Server 2003	Alla standardfunktioner i Active Directory plus följande funktioner: Skogsförtroende. Byte av domännamn. Replikering genom länkade värden. Ändras i gruppmedlemsskapsarkivet och replikerar värden för individuella medlemmar i stället för att replikera hela medlemsskapet som en enda enhet. Detta leder till lägre användning av nätverksbandbredd och processorkraft under replikeringen och eliminerar möjligheten att uppdateringar förloras när olika medlemmar läggs till eller tas bort samtidigt på olika domänkontrollanter. Möjligheten att distribuera en skrivskyddad domänkontrollant (RODC) med Windows Server 2008. Förbättrade algoritmer och bättre skalbarhet för Knowledge Consistency Checker (KCC). Skaparen av topologi mellan platser (ISTG) använder förbättrade algoritmer som skalas för att stödja skogar med ett större antal platser än vad det finns stöd för i funktionalitetsnivån Windows 2000. Möjligheten att skapa instanser av den dynamiska tilläggsklassen som kallas dynamicObject på en domänkatalogpartition. Möjligheten att konvertera en inetOrgPerson-objektinstans till en User-objektinstans och tvärtom. Möjligheten att skapa instanser av de nya grupptyperna, som kallas enkla programgrupper och LDAP-frågegrupper (Lightweight Directory Access Protocol) vilket ger stöd för rollbaserad auktorisering. Inaktivering och omdefiniering av attribut och klasser i schemat.
Windows Server 2008	Alla funktioner som är tillgängliga för skogens funktionsnivå för Windows Server 2003 men inga ytterligare funktioner. Alla domäner som senare läggs till i skogen fungerar dock som standard med domänfunktionalitetsnivån Windows Server 2008.
Windows Server 2008 R2	Alla funktioner som är tillgängliga för skogsfunktionalitetsnivån Windows Server 2003 och följande funktioner: Papperskorgen i Active Directory som gör att du kan återställa borttagna objekt i sin helhet medan AD DS körs. Alla domäner som senare läggs till i skogen fungerar som standard med domänfunktionsnivån Windows Server 2008 R2. Om du planerar att endast använda domänkontrollanter med Windows Server 2008 R2 i hela skogen kan du välja den här skogsfunktionsnivån för att underlätta administrationen. Om du gör detta behöver du aldrig höja domänfunktionalitetsnivån för varje domän du skapar i skogen.

Funktionalitetsnivå för skog

Funktioner som aktiveras

Windows Server 2003

Alla standardfunktioner i Active Directory plus följande funktioner:

Skogsförtroende.
Byte av domännamn.
Replikering genom länkade värden. Ändras i gruppmedlemsskapsarkivet och replikerar värden för individuella medlemmar i stället för att replikera hela medlemsskapet som en enda enhet. Detta leder till lägre användning av nätverksbandbredd och processorkraft under replikeringen och eliminerar möjligheten att uppdateringar förloras när olika medlemmar läggs till eller tas bort samtidigt på olika domänkontrollanter.
Möjligheten att distribuera en skrivskyddad domänkontrollant (RODC) med Windows Server 2008.
Förbättrade algoritmer och bättre skalbarhet för Knowledge Consistency Checker (KCC). Skaparen av topologi mellan platser (ISTG) använder förbättrade algoritmer som skalas för att stödja skogar med ett större antal platser än vad det finns stöd för i funktionalitetsnivån Windows 2000.
Möjligheten att skapa instanser av den dynamiska tilläggsklassen som kallas dynamicObject på en domänkatalogpartition.
Möjligheten att konvertera en inetOrgPerson-objektinstans till en User-objektinstans och tvärtom.
Möjligheten att skapa instanser av de nya grupptyperna, som kallas enkla programgrupper och LDAP-frågegrupper (Lightweight Directory Access Protocol) vilket ger stöd för rollbaserad auktorisering.
Inaktivering och omdefiniering av attribut och klasser i schemat.

Windows Server 2008

Alla funktioner som är tillgängliga för skogens funktionsnivå för Windows Server 2003 men inga ytterligare funktioner. Alla domäner som senare läggs till i skogen fungerar dock som standard med domänfunktionalitetsnivån Windows Server 2008.

Windows Server 2008 R2

Alla funktioner som är tillgängliga för skogsfunktionalitetsnivån Windows Server 2003 och följande funktioner:

Papperskorgen i Active Directory som gör att du kan återställa borttagna objekt i sin helhet medan AD DS körs.

Alla domäner som senare läggs till i skogen fungerar som standard med domänfunktionsnivån Windows Server 2008 R2.

Om du planerar att endast använda domänkontrollanter med Windows Server 2008 R2 i hela skogen kan du välja den här skogsfunktionsnivån för att underlätta administrationen. Om du gör detta behöver du aldrig höja domänfunktionalitetsnivån för varje domän du skapar i skogen.

Ytterligare referenser

Hantera domäner och domänkontrollanter

Förstå domän- och skogsfunktionalitet

Domän- och skogsfunktionalitet

Domänfunktionalitet

Skogsfunktionalitet

Ytterligare referenser

Innehåll