Funktionsebenen bestimmen die Features von Active Directory-Domänendiensten (Active Directory Domain Services, AD DS), die in einer Domäne oder Gesamtstruktur aktiviert sind. Außerdem beschränken sie, welche Windows Server-Betriebssysteme auf den Domänencontrollern in der Domäne oder der Gesamtstruktur ausgeführt werden können. Die Funktionsebenen haben jedoch keine Auswirkung darauf, welche Betriebssysteme auf den Arbeitsstationen und Mitgliedsservern in der Domäne oder der Gesamtstruktur ausgeführt werden können.

Wenn Sie eine neue Domäne oder Gesamtstruktur erstellen, sollten Sie die Domänen- und Gesamtstrukturfunktionsebene auf den höchsten Wert einstellen, der von Ihrer Umgebung bekanntermaßen unterstützt wird. Auf diese Weise können Sie möglichst viele AD DS-Features nutzen. Wenn Sie sich beispielsweise sicher sind, dass der Domäne oder Gesamtstruktur nie Domänencontroller hinzugefügt werden, die unter Windows Server 2008 (oder einem älteren Betriebssystem) ausgeführt werden, wählen Sie die Funktionsebene "Windows Server 2008 R2" aus. Wenn es jedoch möglich ist, dass Domänencontroller beibehalten oder hinzugefügt werden, die unter Windows Server 2008 oder einem älteren Betriebssystem ausgeführt werden, wählen Sie während der Installation die Funktionsebene "Windows Server 2008" aus. Sie können die Funktionsebene nach der Installation erhöhen, wenn Sie sich sicher sind, dass keine solchen Domänencontroller hinzugefügt oder noch verwendet werden.

Wenn Sie eine neue Gesamtstruktur installieren, werden Sie zuerst zum Festlegen der Gesamtstrukturfunktionsebene und dann zum Festlegen der Domänenfunktionsebene aufgefordert. Die Domänenfunktionsebene kann nicht auf einen Wert festgelegt werden, der niedriger ist als die Gesamtstrukturfunktionsebene. Wenn Sie beispielsweise die Gesamtstrukturfunktionsebene auf "Windows Server 2008 R2" festlegen, können Sie die Domänenfunktionsebene nur auf "Windows Server 2008 R2" festlegen. Die Domänenfunktionsebenen-Werte Windows 2000, Windows Server 2003 und "Windows Server 2008" stehen dann auf der Assistentenseite Domänenfunktionsebene festlegen nicht zur Verfügung. Darüber hinaus erhalten alle Domänen, die Sie später dieser Gesamtstruktur hinzufügen, standardmäßig die Domänenfunktionsebene "Windows Server 2008 R2".

Nachdem Sie die Domänenfunktionsebene auf einen bestimmten Wert festgelegt haben, können Sie die Domänenfunktionsebene nicht zurücksetzen oder herabstufen. Dabei gibt es eine Ausnahme: Wenn Sie die Domänenfunktionsebene auf "Windows Server 2008 R2" heraufstufen und wenn die Gesamtstrukturfunktionsebene "Windows Server 2008" oder einer niedrigeren Ebene entspricht, haben Sie die Möglichkeit, die Domänenfunktionsebene auf "Windows Server 2008" zurückzusetzen. Sie können die Domänenfunktionsebene nur von "Windows Server 2008 R2" zu "Windows Server 2008" herabstufen. Wenn die Domänenfunktionsebene auf "Windows Server 2008 R2" festgelegt ist, kann sie nicht zurückgesetzt werden (z. B. auf Windows Server 2003).

Nachdem Sie die Gesamtstrukturfunktionsebene auf einen bestimmten Wert festgelegt haben, können Sie die Gesamtstrukturfunktionsebene nicht zurücksetzen oder herabstufen. Dabei gibt es eine Ausnahme: Wenn Sie die Gesamtstrukturfunktionsebene auf "Windows Server 2008 R2" heraufstufen und wenn der Active Directory-Papierkorb nicht aktiviert ist, haben Sie die Möglichkeit, die Domänenfunktionsebene auf "Windows Server 2008" zurückzusetzen. Sie können die Gesamtstrukturfunktionsebene nur von "Windows Server 2008 R2" zu "Windows Server 2008" herabstufen. Wenn die Gesamtstrukturfunktionsebene auf "Windows Server 2008 R2" festgelegt ist, kann sie nicht zurückgesetzt werden (z. B. auf Windows Server 2003).

In den folgenden Abschnitten werden die Features erläutert, die auf den verschiedenen Domänen- und Gesamtstrukturfunktionsebenen aktiviert sind.

Features, die auf Domänenfunktionsebenen aktiviert sind

In der folgenden Tabelle werden die aktivierten Features und unterstützten Domänencontroller-Betriebssysteme der einzelnen Domänenfunktionsebenen aufgeführt.

Domänenfunktionsebene Aktivierte Features Unterstützte Domänencontroller-Betriebssysteme

Windows 2000 pur

Alle Active Directory-Standardfeatures und die folgenden Features:

  • Universelle Gruppen sowohl für Verteilergruppen als auch für Sicherheitsgruppen

  • Gruppenverschachtelung

  • Gruppenkonvertierung, wodurch die Konvertierung zwischen Sicherheitsgruppen und Verteilergruppen ermöglicht wird

  • Sicherheits-ID-Verlauf (Security Identifier, SID)

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Alle Active Directory-Standardfeatures, alle Features der Domänenfunktionsebene von Windows 2000 pur sowie die folgenden Features:

  • Das Domänenverwaltungstool Netdom.exe kann zur Vorbereitung der Domänencontrollerumbenennung verwendet werden.

  • Aktualisierung des Zeitstempels für die Anmeldung. Das lastLogonTimestamp-Attribut wird mit dem Zeitpunkt der letzten Anmeldung des Benutzers oder des Computers aktualisiert. Dieses Attribut wird innerhalb der Domäne repliziert. Beachten Sie, dass dieses Attribut möglicherweise nicht aktualisiert wird, wenn ein schreibgeschützter Domänencontroller (Read-Only Domain Controller, RODC) das Konto authentifiziert.

  • Das Attribut userPassword kann als effektives Kennwort für inetOrgPerson- und Benutzerobjekte festgelegt werden.

  • Benutzer- und Computercontainer können umgeleitet werden. Standardmäßig werden für Computer und Benutzer-/Gruppenkonten zwei bekannte Container bereitgestellt: cn=Computers,<domain root> und cn=Users,<domain root>. Mit diesem Feature können Sie für diese Konten einen neuen, bekannten Speicherort definieren.

  • Mit dem Autorisierungs-Manager können die Autorisierungsrichtlinien in AD DS gespeichert werden.

  • Die eingeschränkte Delegierung ermöglicht die Nutzung der sicheren Delegierung von Benutzeranmeldeinformationen mithilfe des Kerberos-Authentifizierungsprotokolls. Sie können die Delegierung so konfigurieren, dass sie nur für bestimmte Zieldienste zulässig ist.

  • Die ausgewählte Authentifizierung wird unterstützt, wodurch die Benutzer und Gruppen einer vertrauenswürdigen Gesamtstruktur angegeben werden können, die sich für Ressourcenserver in einer vertrauenden Gesamtstruktur authentifizieren dürfen.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Alle Active Directory-Standardfeatures, alle Features der Domänenfunktionsebenen Windows 2000 einheitlich und Windows Server 2003 sowie die folgenden Features:

  • Replikationsunterstützung für SYSVOL durch das verteilte Dateisystem (Distributed File System, DFS), das eine stabilere und genauer abgestimmte Replikation von SYSVOL-Inhalten ermöglicht. Eventuell müssen Sie zusätzliche Schritte ausführen, um die DFS-Replikation für SYSVOL zu verwenden. Weitere Informationen finden Sie im Abschnitt über Dateidienste (möglicherweise in englischer Sprache) – https://go.microsoft.com/fwlink/?LinkId=93167

  • Unterstützung des Kerberos-Protokolls durch die erweiterten Verschlüsselungsdienste (AES 128 und 256)

  • Informationen zur letzten interaktiven Anmeldung, mit denen der Zeitpunkt der letzten erfolgreichen interaktiven Anmeldung eines Benutzers, die Arbeitsstation und die Anzahl der nicht erfolgreichen Anmeldeversuche seit der letzten Anmeldung angezeigt werden.

  • Abgestimmte Kennwortrichtlinien, die die Angabe von Kennwort- und Kontosperrungsrichtlinien für Benutzer und globale Sicherheitsgruppen in einer Domäne ermöglichen

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Alle Active Directory-Standardfeatures, alle Features der Domänenfunktionsebenen Windows 2000 einheitlich, Windows Server 2003 und "Windows Server 2008" sowie das folgende Feature:

  • Authentifizierungsmechanismussicherung, wobei Informationen zum Typ der Anmeldemethode (Smartcard oder Benutzername/Kennwort) gepackt werden, anhand derer Domänenbenutzer im Kerberos-Token der einzelnen Benutzer authentifiziert werden. Wenn dieses Feature in einer Netzwerkumgebung aktiviert ist, mit der eine Verbundinfrastruktur für die Identitätsverwaltung (z. B. Active Directory-Verbunddienste) bereitgestellt wurde, können die Informationen im Token extrahiert werden, wenn ein Benutzer versucht, auf eine Ansprüche unterstützende Anwendung zuzugreifen, die entwickelt wurde, um die Autorisierung auf der Grundlage der Anmeldemethode eines Benutzers zu bestimmen.

Windows Server 2008 R2

Features, die auf Gesamtstrukturfunktionsebenen aktiviert sind

In der folgenden Tabelle werden die aktivierten Features und unterstützten Domänencontroller-Betriebssysteme der einzelnen Gesamtstrukturfunktionsebenen aufgeführt.

Gesamtstrukturfunktionsebene

Aktivierte Features

Unterstützte Domänencontroller-Betriebssysteme

Windows 2000

Alle Active Directory-Standardfeatures

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Alle Active Directory-Standardfeatures und die folgenden Features:

  • Gesamtstruktur-Vertrauensstellung

  • Domänenumbenennung

  • Verknüpfte Wertreplikation (Änderungen in Bezug auf die Werte zum Speichern und Replizieren der Gruppenmitgliedschaft für einzelne Mitglieder anstelle der Replikation der gesamten Mitgliedschaft als eine einzelne Einheit). Diese Änderung führt zu einer geringeren Netzwerkbandbreiten- und Prozessorauslastung während der Replikation und verhindert den möglichen Verlust von Updates, wenn verschiedenen Domänencontrollern gleichzeitig verschiedene Mitglieder hinzugefügt bzw. wenn diese entfernt werden.

  • Möglichkeit zum Bereitstellen eines RODC

  • Verbesserte Algorithmen und Skalierbarkeit der Konsistenzprüfung (Knowledge Consistency Checker, KCC). Der Generator für standortübergreifende Topologie (Intersite Topology Generator, ISTG) verwendet verbesserte Algorithmen, die skalieren, um Gesamtstrukturen mit einer größeren Anzahl von Standorten zu unterstützen, als es auf der Gesamtstrukturfunktionsebene Windows 2000 möglich ist.

  • Möglichkeit zum Erstellen von Instanzen der dynamischen Erweiterungsklasse mit dem Namen dynamicObject in einer Domänenverzeichnispartition

  • Möglichkeit zum Konvertieren einer Instanz des inetOrgPerson-Objekts in eine Instanz des Benutzerobjekts (und umgekehrt)

  • Möglichkeit zum Erstellen von Instanzen der neuen Gruppentypen (sogenannte anwendungsbasierte Gruppen und LDAP-Abfragegruppen), um rollenbasierte Autorisierung zu unterstützen

  • Deaktivierung und Neudefinition von Attributen und Klassen im Schema

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Alle Features, die auf der Gesamtstrukturfunktionsebene Windows Server 2003 verfügbar sind, jedoch keine zusätzlichen Features. Alle Domänen, die anschließend der Gesamtstruktur hinzugefügt werden, werden jedoch standardmäßig auf der Domänenfunktionsebene Windows Server 2008 ausgeführt.

Wenn Sie beabsichtigen, in der Gesamtstruktur nur Domänencontroller unter Windows Server 2008 oder Windows Server 2008 R2 zu verwenden, können Sie diese Gesamtstrukturfunktionsebene zur Vereinfachung der Verwaltung auswählen.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Alle Features, die auf der Gesamtstrukturfunktionsebene Windows Server 2003 verfügbar sind, sowie das folgende Feature:

  • Papierkorb, der die Möglichkeit bietet, gelöschte Objekte vollständig wiederherzustellen, während AD DS ausgeführt wird.

Alle Domänen, die anschließend der Gesamtstruktur hinzugefügt werden, werden standardmäßig auf der Domänenfunktionsebene Windows Server 2008 R2 ausgeführt.

Wenn Sie beabsichtigen, in der Gesamtstruktur nur Domänencontroller unter Windows Server 2008 R2 zu verwenden, können Sie diese Gesamtstrukturfunktionsebene zur Vereinfachung der Verwaltung auswählen. Wenn Sie dies tun, müssen Sie die Domänenfunktionsebenen für die einzelnen Domänen, die Sie in der Gesamtstruktur erstellen, nie erhöhen.

Windows Server 2008 R2

Inhaltsverzeichnis