Funkce domény a doménové struktury

Funkce domény a doménové struktury, které jsou dostupné ve službě Active Directory Domain Services (AD DS) systému Windows Server 2008 R2, poskytují v síťovém prostředí funkce služby Active Directory na úrovni domény a doménové struktury. V závislosti na síťovém prostředí jsou dostupné různé úrovně funkčnosti domény a doménové struktury.

V případě, že řadiče domény v dané doméně či doménové struktuře používají systém Windows Server 2008 R2 a úroveň funkčnosti domény a doménové struktury je nastavena na Windows Server 2008 R2, jsou k dispozici veškeré funkce na úrovni domény a doménové struktury. Pokud doména nebo doménová struktura zahrnuje řadiče domény, které používají systém Windows 2000, Windows Server 2003 nebo Windows Server 2008, budou funkce služby Active Directory omezené. Informace o povolení funkcí na úrovni domény nebo doménové struktury naleznete v tématech Zvýšení úrovně funkčnosti domény a Zvýšení úrovně funkčnosti doménové struktury.

Funkce domény

Funkce domény aktivuje funkce, které ovlivňují celou doménu, a to pouze tuto doménu. Ve službě AD DS systému Windows Server 2008 R2 jsou dostupné čtyři úrovně funkčnosti domény: nativní režim Windows 2000, Windows Server 2003 (výchozí), Windows Server 2008 a Windows Server 2008 R2.

V následující tabulce jsou uvedeny úrovně funkčnosti domény a odpovídající podporované řadiče domény:

Úroveň funkčnosti domény Podporované řadiče domény

Nativní režim Windows 2000

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Při zvýšení úrovně funkčnosti domény nelze do takové domény začlenit řadiče domény se staršími operačními systémy. Při zvýšení úrovně funkčnosti domény na systém Windows Server 2008 R2 nelze do takové domény přidat řadiče domény se systémem Windows Server 2008.

Následující tabulka popisuje funkce na úrovni domény, které jsou povoleny pro úrovně funkčnosti domény služby AD DS systému Windows Server 2008 R2.

Úroveň funkčnosti domény Povolené funkce

Nativní režim Windows 2000

Všechny výchozí funkce služby Active Directory a následující funkce:

  • Univerzální skupiny jak pro distribuční skupiny, tak pro skupiny zabezpečení.

  • Vnořování skupin.

  • Převod skupin umožňující převod mezi skupinami zabezpečení a distribučními skupinami.

  • Historie identifikátorů zabezpečení (SID).

Windows Server 2003

Všechny výchozí funkce služby Active Directory, všechny funkce z úrovně funkčnosti domény nativního režimu systému Windows 2000 a následující funkce:

  • Příprava přejmenování řadiče domény pomocí nástroje Netdom.exe určeného ke správě domény.

  • Aktualizace časového razítka přihlášení. Atribut lastLogonTimestamp je aktualizován posledním časem přihlášení uživatele nebo počítače. Tento atribut je replikován v rámci domény.

  • Možnost nastavení atributu userPassword jako účinného hesla u objektu inetOrgPerson a objektů uživatelů.

  • Možnost přesměrování kontejnerů Uživatelé a Počítače. Ve výchozím nastavení jsou poskytovány dva známé kontejnery pro uložení účtů počítačů a uživatelských či skupinových účtů: cn=Počítače,<kořen domény> a cn=Uživatelé,<kořen domény>. Tato funkce umožňuje definovat nová známá umístění pro tyto účty.

  • Správce autorizací může zásady autorizace ukládat ve službě AD DS.

  • K dispozici je vynucené delegování, které umožňuje aplikacím využívat zabezpečené delegování uživatelských pověření pomocí ověřovacího protokolu Kerberos. Delegování lze nakonfigurovat tak, aby bylo povoleno pouze u konkrétních cílových služeb.

  • Je podporováno vybrané ověření umožňující určit uživatele a skupiny z důvěryhodné doménové struktury, kteří se mohou ověřovat vůči serverům v důvěřující doménové struktuře.

Windows Server 2008

Všechny výchozí funkce služby Active Directory, všechny funkce z úrovně funkčnosti domény Windows Server 2003 a následující funkce:

  • Podpora služby Replikace distribuovaného systému souborů (DFSR) pro adresář SYSVOL, což poskytuje robustnější a podrobnější replikaci obsahu adresáře SYSVOL.

  • Podpora šifrování AES 128 a 256 (Advanced Encryption Services) pro ověřovací protokol Kerberos.

  • Informace o posledním interaktivním přihlášení zobrazující čas, kdy se uživatel naposledy úspěšně přihlásil (a z jaké pracovní stanice), a počet neúspěšných pokusů o přihlášení od posledního přihlášení.

  • Podrobné zásady pro hesla umožňující zadání zásad uzamykání hesel a účtů pro uživatele a globální skupiny zabezpečení v doméně.

Windows Server 2008 R2

Všechny výchozí funkce služby Active Directory, všechny funkce z úrovně funkčnosti domény Windows Server 2008 a následující funkce:

  • Funkce Záruka ověřovacího mechanismu, která vytváří balíčky informací o typu přihlašovací metody (čipová karta nebo uživatelské jméno a heslo), která se používá k ověřování uživatelů v doméně uvnitř tokenu protokolu Kerberos jednotlivých uživatelů. Je-li tato funkce povolena v síťovém prostředí, kde je nasazena infrastruktura federované správy identit, jako například služba AD FS (Active Directory Federation Services), lze informace z tokenu extrahovat vždy, když se uživatel pokusí o přístup k libovolné aplikaci pracující s deklaracemi, která byla vytvořena, aby určovala autorizaci na základě způsobu přihlášení uživatele.

Funkce doménové struktury

Funkce doménové struktury aktivuje funkce působící v rámci všech domén doménové struktury. V operačním systému Windows Server 2008 R2 jsou k dispozici čtyři úrovně funkčnosti doménové struktury: Windows 2000, Windows Server 2003 (výchozí), Windows Server 2008 a Windows Server 2008 R2.

V následující tabulce jsou uvedeny úrovně funkčnosti doménové struktury v systému Windows Server 2008 R2 a odpovídající podporované řadiče domény:

Úroveň funkčnosti doménové struktury Podporované řadiče domény

Windows 2000 Server

Windows NT 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (výchozí)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Při zvýšení úrovně funkčnosti doménové struktury nelze do této doménové struktury začlenit řadiče domény se staršími operačními systémy. Pokud například zvýšíte úroveň funkčnosti doménové struktury na Windows Server 2008 R2, nelze do této doménové struktury přidat řadiče domény se systémem Windows Server 2008.

Následující tabulka popisuje funkce na úrovni doménové struktury, které jsou povoleny pro úrovně funkčnosti doménové struktury systému Windows Server 2008 R2.

Úroveň funkčnosti doménové struktury Povolené funkce

Windows Server 2003

Všechny výchozí funkce služby Active Directory a následující funkce:

  • Vztah důvěryhodnosti doménové struktury

  • Přejmenování domény

  • Replikace propojených hodnot. Změny úložiště členství ve skupině a replikace hodnot pro jednotlivé členy namísto replikace celého členství jako jediné jednotky. Výsledkem je menší využití šířky pásma a procesoru během replikace, což vylučuje možnou ztrátu aktualizací, pokud jsou v různých řadičích domény souběžně přidáváni a odebíráni různí členové.

  • Možnost nasazení řadiče domény jen pro čtení (RODC) se systémem Windows Server 2008.

  • Vylepšený algoritmus kontroly konzistence znalostí (KCC) a lepší škálovatelnost. Generátor topologie mezi lokalitami (ISTG) využívá vylepšené algoritmy s možností škálování, které podporují doménové struktury s větším počtem lokalit, než podporuje úroveň funkčnosti domény v systému Windows 2000.

  • Možnost vytváření instancí dynamické pomocné třídy s názvem dynamicObject v oddílu adresáře domény.

  • Možnost převodu instance objektu inetOrgPerson na instanci objektu Uživatel a naopak.

  • Možnost vytváření instancí nových typů skupin označovaných jako základní skupiny aplikací a skupiny dotazů protokolu LDAP (Lightweight Directory Access Protocol) pro podporu ověřování na základě role.

  • Deaktivace a opětovná definice atributů a tříd ve schématu.

Windows Server 2008

Všechny funkce dostupné na úrovni funkčnosti doménové struktury Windows Server 2003, ale žádné dodatečné funkce. Všechny domény, které jsou následně přidány do doménové struktury, však budou ve výchozím nastavení provozovány na úrovni funkčnosti domény Windows Server 2008.

Windows Server 2008 R2

Všechny funkce dostupné na úrovni funkčnosti doménové struktury Windows Server 2003 a následující funkce:

  • Funkce Koš služby Active Directory, která při spuštěné službě AD DS umožňuje úplné obnovení odstraněných objektů.

Všechny domény následně přidané do doménové struktury budou ve výchozím nastavení provozovány na úrovni funkčnosti domény Windows Server 2008 R2.

Pokud v celé doménové struktuře chcete mít pouze řadiče domény se systémem Windows Server 2008 R2, doporučujeme tuto funkční úroveň doménové struktury zvolit z důvodu snadnější správy. V takovémto případě nebude nutné zvyšovat úroveň funkčnosti domén vytvářených v doménové struktuře.

Další informace

Obsah