網域與樹系功能

Windows Server 2008 R2 Active Directory 網域服務 (AD DS) 所提供的網域與樹系功能,提供一種方式可在您的網路環境中啟用全網域或全樹系 Active Directory 功能。視網路環境而定,提供了不同等級的網域功能和樹系功能。

如果您網域或樹系的所有網域控制站都執行 Windows Server 2008 R2,且網域和樹系功能等級設定為 Windows Server 2008 R2,則可以使用所有全網域功能和全樹系功能。當您的網域或樹系包含 Windows 2000、Windows Server 2003 或 Windows Server 2008 網域控制站時,Active Directory 功能就會受到限制。如需如何啟用全網域功能或全樹系功能的相關資訊,請參閱提高網域功能等級提高樹系功能等級

網域功能

網域功能會啟用影響整個網域和只影響該網域的功能。在 Windows Server 2008 R2 AD DS 中,有四種網域功能等級:Windows?2000?原生、Windows?Server?2003 (預設)、Windows Server 2008 以及 Windows Server 2008 R2。

下表列出網域功能等級和它們對應的支援網域控制站。

網域功能等級 支援的網域控制站

Windows 2000 原生

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

當您提高網域功能等級時,並無法將執行舊版作業系統的網域控制站引入網域。例如,如果您將網域功能等級提高至 Windows Server 2008 R2,就無法將執行 Windows Server 2008 的網域控制站新增至網域。

下表描述為 Windows Server 2008 R2 AD DS 網域功能等級啟用的全網域功能。

網域功能等級 啟用的功能

Windows 2000 原生

所有預設的 Active Directory 功能以及下列功能:

  • 對發佈群組和安全性群組都啟用萬用群組。

  • 群組巢狀。

  • 啟用群組轉換,這可讓安全性群組和發佈群組之間產生轉換。

  • 安全性識別碼 (SID) 歷程記錄。

Windows Server 2003

所有預設的 Active Directory 功能、Windows 2000 原生網域功能等級的所有功能,以及下列功能:

  • 網域管理工具 Netdom.exe 的可用性,以準備網域控制站重新命名。

  • 更新登入時間戳記。利用使用者或電腦最後登入時間來更新 lastLogonTimestamp 屬性。而且會將此屬性複寫至整個網域。

  • userPassword 屬性設定為 inetOrgPerson 與使用者物件的有效密碼的能力。

  • 重新導向使用者和電腦容器的能力。根據預設,會為儲存電腦和使用者/群組帳戶提供兩個已知的容器:cn=Computers,<網域根目錄> 以及 cn=Users,<網域根目錄>。此功能讓您可以定義新的已知位置給這些帳戶。

  • 授權管理員可以將授權原則儲存在 AD DS 中。

  • 包括限制委派,這可以讓應用程式透過 Kerberos 驗證通訊協定,利用使用者認證的安全委派優點。您可以設定只有特定的目的地服務才允許委派。

  • 支援選擇性驗證,這可以從受信任樹系中指定允許對信任樹系中的資源伺服器進行驗證的使用者和群組。

Windows Server 2008

所有預設的 Active Directory 功能、來自 Windows Server 2003 網域功能等級的功能,以及下列功能:

  • SYSVOL 的分散式檔案系統 (DFS) 複寫支援,可提供最健全詳盡的 SYSVOL 內容複寫能力。

  • 支援 Kerberos 驗證通訊協定的進階加密服務 (AES 128 與 256)。

  • 最後互動式登入資訊,其中顯示使用者最後成功互動式登入的時間、從哪個工作站以及最後登入前的失敗嘗試登入次數。

  • 更細緻的密碼原則 (FGPP),可以指定網域中使用者與通用安全性群組的密碼原則和帳戶鎖定原則。

Windows Server 2008 R2

所有預設的 Active Directory 功能、所有來自 Windows Server 2008 網域功能等級的功能,以及下列功能:

  • 驗證機制保證,會封裝有關登入方法類型 (智慧卡或使用者名稱/密碼) 的資訊,此資訊用來驗證每位使用者 Kerberos 權杖內部的網域使用者。在已部署同盟識別管理基礎結構 (例如 Active?Directory Federation Services (AD?FS)) 的網路環境中啟用此功能後,就可以在使用者嘗試存取任何用於根據使用者的登入方式判斷授權所開發的宣告感知應用程式時,擷取權杖中的資訊。

樹系功能

樹系功能會啟用樹系中跨所有網域的功能。Windows Server 2008 R2 作業系統中提供的四種樹系功能等級:Windows 2000、Windows Server 2003 (預設)、Windows Server 2008 以及 Windows Server 2008 R2。

下表列出 Windows Server 2008 R2 提供的樹系功能等級和它們對應的支援網域控制站。

樹系功能等級 支援的網域控制站

Windows 2000 Server

Windows NT 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (預設)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

當您提高樹系功能等級時,並無法將執行舊版作業系統的網域控制站引入樹系。例如,如果您將樹系功能等級提高至 Windows Server 2008 R2,就無法將執行 Windows Server 2008 的網域控制站新增到樹系。

下表描述為 Windows Server 2008 R2 樹系功能等級啟用的全樹系功能。

樹系功能等級 啟用的功能

Windows Server 2003

所有預設的 Active Directory 功能,以及下列功能:

  • 樹系信任。

  • 網域重新命名。

  • 連結數值複寫。群組成員資格的變更會存放和複寫個別成員的值,而不是將整個成員資格當成單一單位來進行複寫。這會導致在複寫期間使用較低的網路頻寬和處理器使用率,並減少在不同網域控制站同時新增或移除不同成員時,遺失更新的可能性。

  • 部署執行 Windows Server 2008 的唯讀網域控制站 (RODC) 之能力。

  • 加強的知識一致性檢查程式 (KCC) 演算法與延展性。站台間拓撲產生器 (ISTG) 使用改進的演算法擴大對樹系的支援,它可支援的站台數量遠超過 Windows 2000 樹系功能等級所能夠支援的數量。

  • 在網域目錄分割中建立名為 dynamicObject 的動態輔助類別執行個體的能力。

  • 將 inetOrgPerson 物件執行個體轉換為 User 物件執行個體的能力,也可以反向轉換。

  • 建立新群組類型的執行個體 (稱為應用程式基本群組和輕量型目錄存取協定 (LDAP) 查詢群組),以支援角色授權的能力。

  • 停用和重新定義結構描述中的屬性及類別。

Windows Server 2008

可以在 Windows Server 2003 樹系功能等級使用的所有功能,不含其他功能。但是,後續新增到樹系的所有網域預設會以 Windows Server 2008 網域功能等級運作。

Windows Server 2008 R2

可以在 Windows Server 2003 樹系功能等級使用的所有功能,以及下列功能:

  • Active Directory 資源回收筒,在 AD?DS 執行時可完整還原其中已刪除的物件。

根據預設值,後續新增到樹系的所有網域都會以 Windows Server 2008 R2 網域功能等級運作。

如果您計劃讓整個樹系中只包括執行 Windows Server 2008 R2 的網域控制站,則可選擇此樹系功能等級,以便進行系統管理。如果這樣做,將永遠不需要對樹系中建立的每個網域提升網域功能等級。

其他參考資料

目錄