Principy funkce domény a doménové struktury

Funkce domény a doménové struktury

Funkce domény a doménové struktury, které jsou dostupné ve službě AD DS (Active Directory Domain Services) systému Windows Server® 2008 R2, poskytují v síťovém prostředí funkce služby Active Directory na úrovni domény a doménové struktury. V závislosti na síťovém prostředí jsou dostupné různé úrovně funkčnosti domény a doménové struktury.

V případě, že řadiče domény v dané doméně či doménové struktuře používají systém Windows Server 2008 R2 a úroveň funkčnosti domény a doménové struktury je nastavena na Windows Server 2008 R2, jsou k dispozici veškeré funkce na úrovni domény a doménové struktury. Pokud doména nebo doménová struktura zahrnuje řadiče domény, které používají systém Windows® 2000, Windows Server 2003 nebo Windows Server 2008, budou funkce služby Active Directory omezené. Informace o povolení funkcí na úrovni domény nebo doménové struktury naleznete v tématech Zvýšení úrovně funkčnosti domény a Zvýšení úrovně funkčnosti doménové struktury.

Funkce domény

Funkce domény aktivuje funkce, které ovlivňují celou doménu a pouze tuto doménu. Ve službě AD DS systému Windows Server 2008 R2 jsou dostupné čtyři úrovně funkčnosti domény: nativní režim Windows 2000, Windows Server 2003 (výchozí), Windows Server 2008 a Windows Server 2008 R2.

V následující tabulce jsou uvedeny úrovně funkčnosti domény a odpovídající podporované řadiče domény:

Úroveň funkčnosti domény	Podporované řadiče domény
Nativní režim Windows 2000	Windows 2000 Server Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	Windows Server 2008 R2

Při zvýšení úrovně funkčnosti domény nelze do této domény začlenit řadiče domény se staršími operačními systémy. Při zvýšení úrovně funkčnosti domény na Windows Server 2008 R2 nelze do této domény přidat řadiče domény se systémem Windows Server 2008.

Následující tabulka popisuje funkce na úrovni domény, které jsou povoleny pro úrovně funkčnosti domény služby AD DS systému Windows Server 2008 R2.

Úroveň funkčnosti domény	Povolené funkce
Nativní režim Windows 2000	Všechny výchozí funkce služby Active Directory a následující funkce: univerzální skupiny jsou povoleny jak pro distribuční skupiny, tak pro skupiny zabezpečení, vnořování skupin, je povolen převod skupin umožňující převod mezi skupinami zabezpečení a distribučními skupinami, historie identifikátorů zabezpečení (SID).
Windows Server 2003	Všechny výchozí funkce služby Active Directory, všechny funkce z úrovně funkčnosti domény nativního režimu systému Windows 2000 a následující funkce: Příprava přejmenování řadiče domény pomocí nástroje Netdom.exe určeného ke správě domény. Aktualizace časového razítka přihlášení. Atribut lastLogonTimestamp je aktualizován posledním časem přihlášení uživatele nebo počítače. Tento atribut je replikován v rámci domény. Možnost nastavení atributu userPassword jako účinného hesla u objektu inetOrgPerson a objektů uživatelů. Možnost přesměrování kontejnerů Uživatelé a Počítače. Ve výchozím nastavení jsou poskytovány dva známé kontejnery pro uložení účtů počítačů a uživatelských či skupinových účtů: cn=Počítače,<kořen domény> a cn=Uživatelé,<kořen domény>. Tato funkce umožňuje definovat nová známá umístění pro tyto účty. Program Authorization Manager může zásady autorizace ukládat ve službě AD DS. K dispozici je vynucené delegování, které umožňuje aplikacím využívat zabezpečené delegování uživatelských pověření pomocí ověřovacího protokolu Kerberos. Delegování lze nakonfigurovat tak, aby bylo povoleno pouze u konkrétních cílových služeb. Je podporováno vybrané ověření umožňující určit uživatele a skupiny z důvěryhodné doménové struktury, kteří se mohou ověřovat vůči serverům v důvěřující doménové struktuře.
Windows Server 2008	Všechny výchozí funkce služby Active Directory, všechny funkce z úrovně funkčnosti domény Windows Server 2003 a následující funkce: podpora služby Replikace distribuovaného systému souborů (DFSR) pro svazek SYSVOL poskytující robustnější a podrobnější replikaci obsahu svazku SYSVOL, podpora šifrování AES 128 a 256 (Advanced Encryption Services) pro ověřovací protokol Kerberos, informace o posledním interaktivním přihlášení zobrazující čas, kdy se uživatel naposledy úspěšně přihlásil, z jaké pracovní stanice a počet neúspěšných pokusů o přihlášení od posledního přihlášení, podrobné zásady pro hesla umožňující zadání zásad uzamykání hesel a účtů pro uživatele a globální skupiny zabezpečení v doméně.
Windows Server 2008 R2	Všechny výchozí funkce služby Active Directory, všechny funkce z úrovně funkčnosti domény Windows Server 2008 a následující funkce: Funkce Záruka ověřovacího mechanismu, která vytváří balíčky informací o typu způsobu přihlašování (čipová karta nebo uživatelské jméno a heslo), který se používá k ověřování uživatelů v doméně uvnitř tokenu protokolu Kerberos každého uživatele. Je-li tato funkce povolena v síťovém prostředí, kde je nasazena infrastruktura federované správy identit, jako například služba AD FS (Active Directory Federation Services), lze informace z tokenu extrahovat vždy, když se uživatel pokusí o přístup k libovolné aplikaci pracující s deklaracemi, která byla vytvořena, aby určovala autorizaci na základě způsobu přihlášení uživatele.

Funkce doménové struktury

Funkce doménové struktury aktivuje funkce působící v rámci všech domén doménové struktury. V operačním systému Windows Server 2008 R2 jsou k dispozici čtyři úrovně funkčnosti doménové struktury: Windows 2000, Windows Server 2003 (výchozí), Windows Server 2008 a Windows Server 2008 R2.

V následující tabulce jsou uvedeny úrovně funkčnosti doménové struktury v operačním systému Windows Server 2008 R2 a odpovídající podporované řadiče domény:

Úroveň funkčnosti doménové struktury	Podporované řadiče domény
Windows 2000	Windows NT® 4.0 Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003 (výchozí)	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	Windows Server 2008 R2

Při zvýšení úrovně funkčnosti doménové struktury nelze do této doménové struktury začlenit řadiče domény se staršími operačními systémy. Pokud například zvýšíte úroveň funkčnosti doménové struktury na Windows Server 2008 R2, nelze do této doménové struktury přidat řadiče domény se systémem Windows Server 2008.

Následující tabulka popisuje funkce na úrovni doménové struktury, které jsou povoleny pro úrovně funkčnosti doménové struktury Windows Server 2003, Windows Server 2008 a Windows Server 2008 R2.

Úroveň funkčnosti doménové struktury	Povolené funkce
Windows Server 2003	Všechny výchozí funkce služby Active Directory a následující funkce: Vztah důvěryhodnosti doménové struktury Přejmenování domény Replikace propojených hodnot (změny úložiště členství ve skupině a replikace hodnot pro jednotlivé členy namísto replikace celého členství jako jediné jednotky). Výsledkem je menší využití šířky pásma a procesoru během replikace, což vylučuje možnou ztrátu aktualizací, pokud jsou v různých řadičích domény souběžně přidáváni a odebíráni různí členové. Možnost nasazení řadiče domény jen pro čtení (RODC) se systémem Windows Server 2008. Vylepšený algoritmus KCC (Knowledge Consistency Checker) a škálovatelnost. Generátor mezisíťové topologie (ISTG) využívá vylepšené algoritmy s možností škálování, které podporují doménové struktury s větším počtem sítí, než podporuje úroveň funkčnosti domény Windows 2000. Možnost vytváření instancí dynamické pomocné třídy s názvem dynamicObject v oddílu adresáře domény. Možnost převodu instance objektu inetOrgPerson na instanci objektu Uživatel a naopak. Možnost vytváření instancí nových typů skupin označovaných jako základní skupiny aplikací a skupiny dotazů LDAP (Lightweight Directory Access Protocol) pro podporu ověřování na základě role. Deaktivace a opětovná definice atributů a tříd ve schématu.
Windows Server 2008	Tato úroveň funkčnosti domény poskytuje všechny funkce dostupné u úrovně funkčnosti domény Windows Server 2003, ale žádné dodatečné funkce. Všechny domény, které jsou následně přidány do doménové struktury, však budou ve výchozím nastavení provozovány na úrovni funkčnosti domény Windows Server 2008.
Windows Server 2008 R2	Všechny funkce dostupné na úrovni funkčnosti doménové struktury Windows Server 2003 a následující funkce: Funkce Koš služby Active Directory, která při spuštěné službě AD DS umožňuje úplné obnovení odstraněných objektů. Všechny domény následně přidané do doménové struktury budou ve výchozím nastavení provozovány na úrovni funkčnosti domény Windows Server 2008 R2. Pokud v celé doménové struktuře chcete mít pouze řadiče domény se systémem Windows Server 2008 R2, doporučujeme tuto úroveň funkčnosti doménové struktury zvolit z důvodu snadnější správy. V takovém případě nebude nutné zvyšovat úroveň funkčnosti domén vytvářených v doménové struktuře.

Úroveň funkčnosti doménové struktury

Povolené funkce

Windows Server 2003

Všechny výchozí funkce služby Active Directory a následující funkce:

Vztah důvěryhodnosti doménové struktury
Přejmenování domény
Replikace propojených hodnot (změny úložiště členství ve skupině a replikace hodnot pro jednotlivé členy namísto replikace celého členství jako jediné jednotky). Výsledkem je menší využití šířky pásma a procesoru během replikace, což vylučuje možnou ztrátu aktualizací, pokud jsou v různých řadičích domény souběžně přidáváni a odebíráni různí členové.
Možnost nasazení řadiče domény jen pro čtení (RODC) se systémem Windows Server 2008.
Vylepšený algoritmus KCC (Knowledge Consistency Checker) a škálovatelnost. Generátor mezisíťové topologie (ISTG) využívá vylepšené algoritmy s možností škálování, které podporují doménové struktury s větším počtem sítí, než podporuje úroveň funkčnosti domény Windows 2000.
Možnost vytváření instancí dynamické pomocné třídy s názvem dynamicObject v oddílu adresáře domény.
Možnost převodu instance objektu inetOrgPerson na instanci objektu Uživatel a naopak.
Možnost vytváření instancí nových typů skupin označovaných jako základní skupiny aplikací a skupiny dotazů LDAP (Lightweight Directory Access Protocol) pro podporu ověřování na základě role.
Deaktivace a opětovná definice atributů a tříd ve schématu.

Windows Server 2008

Tato úroveň funkčnosti domény poskytuje všechny funkce dostupné u úrovně funkčnosti domény Windows Server 2003, ale žádné dodatečné funkce. Všechny domény, které jsou následně přidány do doménové struktury, však budou ve výchozím nastavení provozovány na úrovni funkčnosti domény Windows Server 2008.

Windows Server 2008 R2

Všechny funkce dostupné na úrovni funkčnosti doménové struktury Windows Server 2003 a následující funkce:

Funkce Koš služby Active Directory, která při spuštěné službě AD DS umožňuje úplné obnovení odstraněných objektů.

Všechny domény následně přidané do doménové struktury budou ve výchozím nastavení provozovány na úrovni funkčnosti domény Windows Server 2008 R2.

Pokud v celé doménové struktuře chcete mít pouze řadiče domény se systémem Windows Server 2008 R2, doporučujeme tuto úroveň funkčnosti doménové struktury zvolit z důvodu snadnější správy. V takovém případě nebude nutné zvyšovat úroveň funkčnosti domén vytvářených v doménové struktuře.

Další informace

Správa domén a doménových struktur

Principy funkce domény a doménové struktury

Funkce domény a doménové struktury

Funkce domény

Funkce doménové struktury

Další informace

Obsah