域和林功能

在 Windows Server(R) 2008 R2 Active Directory 域服务 (AD DS) 中的域和林功能,提供了一种可以在网络环境中启用全域性功能或全林性 Active Directory 功能的方法。不同的网络环境,则有不同级别的域功能和林功能级别。

如果域或林中的所有域控制器运行的都是 Windows Server 2008 R2,并且域和林功能级别设置为 Windows Server 2008 R2,则所有全域性功能和全林性功能都可用。如果域或林中包含 Windows(R) 2000、Windows Server 2003 或 Windows Server 2008 域控制器,则 Active Directory 功能将受到限制。有关如何启用全域性功能或全林性功能的详细信息,请参阅提升域功能级别提升林功能级别

域功能

域功能启用了可影响整个域以及仅影响该域的功能。在 Windows Server 2008 R2 AD DS 中,有四个可用的域功能级别:Windows 2000 纯模式、Windows Server 2003(默认值)、Windows Server 2008 以及 Windows Server 2008 R2。

下表列出域功能级别及其相应支持的域控制器:

域功能级别 支持的域控制器

Windows 2000 纯模式

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

提升域功能级别后,无法将运行早期版本操作系统的域控制器引入该域。例如,如果将域功能级别提升到 Windows Server 2008 R2,则无法将运行 Windows Server 2008 的域控制器添加到该域。

下表介绍了为 Windows Server 2008 R2 AD DS 域功能级别启用的全域性功能。

域功能级别 启用的功能

Windows 2000 本机模式

所有默认的 Active Directory 功能及以下功能:

  • 为分发组和安全组启用的通用组。

  • 组嵌套。

  • 已启用组转换,可使安全组和分发组间进行转换。

  • 安全标识符 (SID) 历史记录。

Windows Server 2003

所有默认的 Active Directory 功能、所有来自 Windows 2000 本机模式域功能级别的功能,以及以下功能:

  • 准备要用于域控制器重命名的域管理工具 Netdom.exe 的可用性。

  • 更新登录时间戳。使用用户或计算机的上次登录时间来更新 lastLogonTimestamp 属性。可以在域内复制该属性。

  • 在 inetOrgPerson 对象和用户对象上将 userPassword 属性设置为有效密码的功能。

  • 重定向用户和计算机容器的功能。默认情况下,提供两个已知容器以容纳计算机和用户/组帐户:cn=Computers,<domain root> 和 cn=Users,<domain root>。此功能可用于定义这些帐户新的已知位置。

  • 授权管理器可以将其授权策略存储在 AD DS 中。

  • 包括受限制的委派,这使应用程序可以通过 Kerberos 身份验证协议利用安全的用户凭据委派。可以将委派配置为仅允许特定的目标服务。

  • 支持选择性的身份验证,这可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。

Windows Server 2008

所有默认的 Active Directory 功能、所有来自 Windows Server 2003 域功能级别的功能,以及下列功能:

  • SYSVOL 的分布式文件系统复制支持,可提供 SYSVOL 内容的更稳健更详细的复制。

  • Kerberos 身份验证协议的高级加密服务(AES 128 和 256)支持。

  • 上次交互式登录信息,将显示用户上次成功交互式登录的时间、来自什么工作站,以及自上次登录失败的登录尝试次数。

  • 严格的密码策略,这可以为域中的用户和全局安全组指定密码策略和帐户锁定策略。

Windows Server 2008 R2

所有默认的 Active Directory 功能、所有来自 Windows Server 2008 域功能级别的功能,以及下列功能:

  • 身份验证机制保证,将对域用户进行身份验证所用的登录方法类型(智能卡或用户名/密码)相关信息封装在每个用户的 Kerberos 令牌中。如果在已部署联合身份管理基础结构(如 Active Directory 联合身份验证服务 (AD FS))的网络环境中启用此功能,则每当用户尝试访问已部署为根据用户登录方法确定是否授权的声明感知应用程序时,都会提取令牌中的信息。

林功能

林功能启用了林中所有域上的功能。在 Windows Server 2008 R2 操作系统中有四个可用的林功能级别:Windows 2000、Windows Server 2003(默认值)、Windows Server 2008 和 Windows Server 2008 R2。

下表列出了 Windows Server 2008 R2 操作系统中可用的林功能级别及相应支持的域控制器。

林功能级别 支持的域控制器

Windows 2000

Windows NT(R) 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003(默认值)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

提升林功能级别后,无法将运行早期版本操作系统的域控制器引入该林。例如,如果将林功能级别提升到 Windows Server 2008 R2,则无法将运行 Windows Server 2008 的域控制器添加到该林。

下表介绍了为 Windows Server 2003、Windows Server 2008 和 Windows Server 2008 R2 林功能级别启用的全林性功能。

林功能级别 启用的功能

Windows Server 2003

所有默认的 Active Directory 功能及以下功能:

  • 林信任

  • 域重命名

  • 链接值复制(组成员身份中的更改为各个成员存储并复制值,而不是作为单个单位复制整个成员身份。)在不同域控制器中同时添加或删除不同成员时,这在复制和消除可能丢失的更新过程中会导致较低的网络带宽和处理器使用率。

  • 部署运行 Windows Server 2008 的只读域控制器 (RODC) 的功能。

  • 改进的知识一致性检查器 (KCC) 的算法和可伸缩性。站点间拓扑生成器 (ISTG) 使用改进的算法,可缩放以支持具有远远大于在 Windows 2000 林功能级别上所支持站点的数量的林。

  • 在域目录分区中创建动态辅助类(称为 dynamicObject)的实例的功能。

  • 将 inetOrgPerson 对象实例转换为用户对象实例的功能,及反向转换功能。

  • 创建新组(称为应用程序基本组和轻型目录访问协议 (LDAP) 查询组)类型的实例以支持基于角色的授权的功能。

  • 在架构中停用并重新定义属性和类别。

Windows Server 2008

该功能级别提供 Windows Server 2003 林功能级别上可用的所有功能,但不提供任何其他功能。但在默认情况下,随后添加到林的所有域,将在 Windows Server 2008 域功能级别进行操作。

Windows Server 2008 R2

Windows Server 2003 林功能级别上可用的所有功能,以及下列功能:

  • Active Directory 回收站,提供在运行 AD DS 时还原整个已删除对象的功能。

在默认情况下,随后添加到林的所有域都将以 Windows Server 2008 R2 域功能级别运行。

如果计划仅包括在整个林中运行 Windows Server 2008 R2 的域控制器,则为便于进行管理可以选择此林功能级别。如果这样做,您将永远不必为在林中创建的每个域提升域功能级别。

其他参考

目录