Etki alanı ve orman işlevselliği

Windows Server® 2008 R2 Active Directory Etki Alanı Hizmetleri'nde (AD DS) bulunan etki alanı ve orman işlevselliği, ağ ortamınızdaki etki alanı ve orman çapındaki Active Directory özelliklerini etkinleştirmek için bir yol sağlar. Ağ ortamınıza bağlı olarak etki alanı ve orman işlevinin farklı düzeyleri kullanılabilir.

Etki alanınızdaki veya ormanınızdaki tüm etki alanı denetleyicileri Windows Server 2008 R2 çalıştırıyorsa ve etki alanı ve orman işlev düzeyi Windows Server 2008 R2 olarak ayarlanmışsa, tüm etki alanı çapındaki özellikler ve orman çapındaki özellikler kullanılabilir. Etki alanınız veya ormanınız Windows® 2000, Windows Server 2003 ya da Windows Server 2008 etki alanı denetleyicilerini içeriyorsa, Active Directory özellikleri sınırlıdır. Etki alanı veya orman çapındaki özellikleri etkinleştirme hakkında daha fazla bilgi için bkz. Etki Alanı İşlev Düzeyini Yükseltme ve Orman İşlev Düzeyini Yükseltme.

Etki alanı işlevselliği

Etki alanı işlevselliği tüm etki alanını veya yalnızca söz konusu etki alanını etkileyen özellikleri etkinleştirir. Windows Server 2008 R2 AD DS'de, dört etki alanı işlev düzeyi vardır: Windows 2000 yerel, Windows Server 2003 (varsayılan), Windows Server 2008 ve Windows Server 2008 R2.

Aşağıdaki tabloda, etki alanı işlev düzeyleri ve karşılık gelen etki alanı denetleyicileri listelenmiştir:

Etki alanı işlev düzeyi Desteklenen etki alanı denetleyicileri

Windows 2000 yerel

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Etki alanı işlev düzeyini yükselttiğinizde, daha eski işletim sistemlerini çalıştıran etki alanı denetleyicileri etki alanına tanıtılamaz. Örneğin, etki alanı işlev düzeyini Windows Server 2008 R2 düzeyine yükseltirseniz, etki alanına Windows Server 2008 çalıştıran etki alanı denetleyicilerini ekleyemezsiniz.

Aşağıdaki tabloda Windows Server 2008 R2 AD DS etki alanı işlev düzeyleri için etkin olan etki alanı çapındaki özellikleri tanımlanmıştır.

Etki alanı işlev düzeyi Etkin özellikler

Windows 2000 yerel

Varsayılan tüm Active Directory özellikleri ve aşağıdaki özellikler:

  • Evrensel gruplar hem dağıtım hem de güvenlik grupları için etkinleştirilir.

  • Grupları iç içe geçirme.

  • Güvenlik grupları ve dağıtım grupları arasında dönüşümü mümkün kılan grup dönüşümü etkindir.

  • Güvenlik kimliği (SID) geçmişi.

Windows Server 2003

Varsayılan tüm Active Directory özellikleri, Windows 2000 yerel etki alanı işlev düzeyindeki tüm özellikler artı aşağıdaki özellikler:

  • Etki alanı denetleyicisinin adını değiştirmeye hazırlık için, Netdom.exe etki alanı yönetim aracını kullanabilme.

  • Oturum açma zaman damgasının güncelleştirilmesi. lastLogonTimestamp özniteliği kullanıcı veya bilgisayarın en son oturum saatiyle güncelleştirilir. Bu öznitelik etki alanı içine çoğaltılır.

  • inetOrgPerson nesnesi ve kullanıcı nesnelerinde etkin parola olarak userPassword özniteliğini ayarlama yeteneği.

  • Kullanıcılar ve Bilgisayarlar kapsayıcılarını yeniden yönlendirebilme yeteneği. Varsayılan olarak bilgisayar ve kullanıcı/grup hesaplarını bulunduran iki bilinen kapsayıcı sağlanmıştır: cn=Computers,<etki alanı kökü> ve cn=Users,<etki alanı kökü>. Bu özellik, bu hesaplar için yeni ve iyi bilinen bir konum tanımlamaya olanak sağlar.

  • Yetkilendirme Yöneticisi yetkilendirme ilkelerini AD DS'de depolayabilir.

  • Uygulamaların Kerberos kimlik doğrulama protokolü yoluyla kullanıcı kimlik bilgilerinin güvenli temsil avantajından yararlanmasına olanak sağlayan zorunlu temsilci seçme özelliği dahildir. Temsile yalnızca belirli hedef hizmetler için izin verilecek şekilde yapılandırabilirsiniz.

  • Güvenilen bir ormanda güvenen ormandaki kaynak sunucularında kimlik doğrulamasına izin verilen kullanıcı ve grupları belirtmeye olanak sağlayan seçmeli kimlik doğrulama desteklenir.

Windows Server 2008

Varsayılan tüm Active Directory özellikleri, Windows Server 2003 etki alanı işlev düzeyindeki tüm özellikler artı aşağıdaki özellikler:

  • SYSVOL içeriğinin daha sağlam ve ayrıntılı çoğaltılmasını sağlayan SYSVOL için Dağıtılmış Dosya Sistemi Çoğaltma desteği.

  • Kerberos kimlik doğrulama protokolü için Gelişmiş Şifreleme Hizmetleri (AES 128 ve 256) desteği.

  • Bir kullanıcının en son başarılı etkileşimli oturum açma zamanını, bunu hangi iş istasyonundan yaptığını ve son oturum açmadan bu yana yaptığı başarısız oturum açma denemeleri sayısını görüntüleyen Son Etkileşimli Oturum Açma Bilgileri.

  • Bir etki alanındaki kullanıcılar ve genel güvenlik grupları için parola ilkeleri ve hesap kilitleme ilkelerinin belirtilmesine olanak sağlayan iyi ayarlanmış parola ilkeleri.

Windows Server 2008 R2

Tüm varsayılan Active Directory özellikleri, Windows Server 2008 etki alanı işlev düzeyinin tüm özellikleri ve aşağıdaki özellikler:

  • Her kullanıcının Kerberos belirtecinin içinde etki alanı kullanıcılarının kimliğini doğrulamak için kullanılan oturum açma yönteminin türü (akıllı kart veya kullanıcı adı/parola) hakkında bilgileri paketleyen kimlik doğrulama mekanizması güvencesi. Active Directory Federasyon Hizmetleri (AD FS) gibi bir federe kimlik yönetimi altyapısı dağıtan ağ ortamında bu özellik etkinleştirildiğinde, kullanıcının oturum açma yöntemini esas alarak kimlik doğrulamasını belirlemek için geliştirilmiş herhangi bir talep kullanan uygulamaya kullanıcı her erişmeyi denediğinde, belirteçteki bilgiler ayıklanabilir.

Orman işlevselliği

Orman işlevselliği ormanınız içindeki tüm etki alanlarında özellikleri etkinleştirir. Windows Server 2008 R2 işletim sisteminde dört orman işlev düzeyi kullanılabilir: Windows 2000, Windows Server 2003 (varsayılan), Windows Server 2008 ve Windows Server 2008 R2.

Aşağıdaki tabloda, Windows Server 2008 R2 işletim sisteminde kullanılabilen orman işlev düzeyleri ve karşılık gelen desteklenen etki alanı denetleyicileri listelenmektedir.

Orman işlev düzeyi Desteklenen etki alanı denetleyicileri

Windows 2000

Windows NT® 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (varsayılan)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Orman işlev düzeyini yükselttiğinizde, daha eski işletim sistemlerini çalıştıran etki alanı denetleyicileri ormana tanıtılamaz. Örneğin, orman işlev düzeyini Windows Server 2008 R2'ye yükseltirseniz, Windows Server 2008 çalıştıran etki alanı denetleyicileri ormana eklenemez.

Aşağıdaki tabloda, Windows Server 2003, Windows Server 2008 ve Windows Server 2008 R2 orman işlev düzeyleri için etkinleştirilmiş orman çapındaki özellikler açıklanmıştır.

Orman işlev düzeyi Etkinleştirilmiş özellikler

Windows Server 2003

Varsayılan tüm Active Directory özellikleri ve aşağıdaki özellikler:

  • Orman güveni

  • Etki alanını yeniden adlandırma

  • Bağlı değer çoğaltma (Grup üyeliği deposundaki değişiklikler ve tüm üyeliği tek bir birim olarak çoğaltma yerine tek tek üyeler için değerleri çoğaltma.) Bu sayede çoğaltma sırasında daha düşük ağ bant genişliği ve işlemci kullanımı olur ve farklı etki alanı denetleyicilerine eşzamanlı olarak farklı üyeler eklenirken veya çıkarılırken güncelleştirme kaybı olasılığını ortadan kaldırır.

  • Windows Server 2008 çalıştıran salt okunur etki alanı denetleyicisi (RODC) dağıtma özelliği.

  • Geliştirilmiş Bilgi Tutarlılığı Denetleyicisi (KCC) algoritmaları ve ölçeklenebilirlik. Siteler arası topoloji üreticisi (ISTG), Windows 2000 orman işlev düzeyinde desteklenenden daha fazla sayıda site içeren ormanları destekleyebilen ölçekteki geliştirilmiş algoritmaları kullanır.

  • Etki alanı dizin bölümünde dynamicObject adı verilen dinamik yardımcı sınıfı örneklerini oluşturabilme yeteneği.

  • inetOrgPerson nesnesi örneğini Kullanıcı nesnesi örneğine dönüştürebilme veya dönüşümün tersini yapabilme.

  • Rol tabanlı yetkilendirmeyi desteklemek için uygulama temel grupları denilen yeni grup türlerini ve Basit Dizin Erişimi Protokolü (LDAP) sorgu grupları örneklerini oluşturabilme.

  • Şemadaki öznitelikleri ve sınıfları devre dışı bırakma ve yeniden tanımlama.

Windows Server 2008

Bu işlev düzeyi Windows Server 2003 orman işlev düzeyinde bulunan tüm özellikleri sağlar, ancak ek özellik yoktur. Bununla birlikte, orman altına eklenen tüm etki alanları varsayılan olarak Windows Server 2008 etki alanı işlev düzeyinde çalışacaktır.

Windows Server 2008 R2

Windows Server 2003 orman işlev düzeyinde kullanılabilen tüm özellikler ve aşağıdaki özellikler:

  • AD DS çalışırken, silinmiş nesnelerin tamamen geri yüklenmesini sağlayan Active Directory Geri Dönüşüm Kutusu.

Ormana sonradan eklenen tüm etki alanları, varsayılan olarak Windows Server 2008 R2 etki alanı işlev düzeyinde çalışır.

Orman genelinde yalnızca Windows Server 2008 R2 çalıştıran etki alanı denetleyicilerini eklemeyi planlıyorsanız, yönetim kolaylığı açısından bu orman işlev düzeyini seçebilirsiniz. Bunu yaparsanız, ormanda oluşturduğunuz etki alanları için etki alanı işlev düzeyini yükseltmeniz gerekmez.

Ek başvurular

İçindekiler