Grundlegendes zur Domänen- und Gesamtstrukturfunktionalität

Domänen- und Gesamtstrukturfunktionalität

Mithilfe der in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) von Windows Server 2008 R2 verfügbaren Domänen- und Gesamtstrukturfunktionalität können domänenweite Features oder Active Directory-Features auf Gesamtstrukturebene in der Netzwerkumgebung aktiviert werden. Je nach Netzwerkumgebung sind verschiedene Ebenen der Domänen- und Gesamtstrukturfunktionalität verfügbar.

Wenn alle Domänencontroller in der Domäne oder Gesamtstruktur unter Windows Server 2008 R2 ausgeführt werden und die Domänen- und Gesamtstrukturfunktionsebene auf Windows Server 2008 R2 festgelegt ist, sind alle domänenweiten Features und alle Features auf Gesamtstrukturebene verfügbar. Wenn die Domäne oder Gesamtstruktur Windows 2000-, Windows Server 2003- oder Windows Server 2008-Domänencontroller enthält, sind die Active Directory-Features beschränkt. Weitere Informationen zum Aktivieren von Features auf Domänenebene oder Features auf Gesamtstrukturebene finden Sie unter Heraufstufen der Domänenfunktionsebene und Heraufstufen der Gesamtstrukturfunktionsebene.

Domänenfunktionalität

Mit der Domänenfunktionalität werden Features aktiviert, die die gesamte Domäne, jedoch nur diese eine Domäne, betreffen. In den Active Directory-Domänendiensten von Windows Server 2008 R2 sind vier Domänenfunktionsebenen verfügbar: Windows 2000 einheitlich, Windows Server 2003 (Standard), Windows Server 2008 und Windows Server 2008 R2.

In der folgenden Tabelle werden die Domänenfunktionsebenen und die entsprechenden unterstützten Domänencontroller aufgelistet.

Domänenfunktionsebene	Unterstützte Domänencontroller
Windows 2000 einheitlich	Windows 2000 Server Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	Windows Server 2008 R2

Nachdem die Domänenfunktionsebene heraufgestuft wurde, können Domänencontroller unter früheren Betriebssystemen nicht in der Domäne verwendet werden. Wenn Sie die Domänenfunktionsebene beispielsweise auf Windows Server 2008 R2 heraufstufen, können der Domäne keine Domänencontroller unter Windows Server 2008 hinzugefügt werden.

In der folgenden Tabelle werden die domänenweiten Features beschrieben, die für die Domänenfunktionsebenen in den Active Directory-Domänendiensten von Windows Server 2008 R2 aktiviert sind.

Domänenfunktionsebene	Aktivierte Features
Windows 2000 einheitlich	Alle Active Directory-Standardfeatures und die folgenden Features: Universelle Gruppen sind sowohl für Verteilergruppen als auch für Sicherheitsgruppen aktiviert. Gruppenverschachtelung Die Gruppenkonvertierung ist aktiviert, wodurch die Konvertierung zwischen Sicherheitsgruppen und Verteilergruppen ermöglicht wird. Sicherheits-ID-Verlauf (Security Identifier, SID)
Windows Server 2003	Alle Active Directory-Standardfeatures, alle Features der Domänenfunktionsebene von Windows 2000 einheitlich sowie die folgenden Features: Verfügbarkeit des Domänenverwaltungstools Netdom.exe zur Vorbereitung der Domänencontrollerumbenennung Aktualisierung des Zeitstempels für die Anmeldung: Das lastLogonTimestamp-Attribut wird mit dem Zeitpunkt der letzten Anmeldung des Benutzers oder des Computers aktualisiert. Dieses Attribut wird innerhalb der Domäne repliziert. Möglichkeit zum Festlegen des userPassword-Attributs als effektives Kennwort für das inetOrgPerson-Objekt und für Benutzerobjekte Möglichkeit zum Umleiten von Benutzer- und Computercontainern. Standardmäßig werden für Computer und Benutzer-/Gruppenkonten zwei bekannte Container bereitgestellt: cn=Computers,<Domänenstamm> und cn=Users,<Domänenstamm>. Mit diesem Feature kann für diese Konten ein neuer, bekannter Speicherort definiert werden. Mit dem Autorisierungs-Manager können die Autorisierungsrichtlinien in den Active Directory-Domänendiensten gespeichert werden. Die eingeschränkte Delegierung ermöglicht die Nutzung der sicheren Delegierung von Benutzeranmeldeinformationen mithilfe des Kerberos-Authentifizierungsprotokolls. Sie können die Delegierung so konfigurieren, dass sie nur für bestimmte Zieldienste zulässig ist. Die ausgewählte Authentifizierung wird unterstützt, wodurch die Benutzer und Gruppen einer vertrauenswürdigen Gesamtstruktur angegeben werden können, die sich für Ressourcenserver in einer vertrauenden Gesamtstruktur authentifizieren dürfen.
Windows Server 2008	Alle Active Directory-Standardfeatures, alle Features der Domänenfunktionsebene Windows Server 2003 sowie die folgenden Features: Replikationsunterstützung für SYSVOL durch das verteilte Dateisystem (Distributed File System, DFS), das eine stabilere und genauer abgestimmte Replikation von SYSVOL-Inhalten ermöglicht. Unterstützung des Kerberos-Authentifizierungsprotokolls durch die erweiterten Verschlüsselungsdienste (Advanced Encryption Services) (AES 128 und 256) Informationen zur letzten interaktiven Anmeldung, mit denen der Zeitpunkt der letzten erfolgreichen interaktiven Anmeldung eines Benutzers, die Arbeitsstation und die Anzahl der nicht erfolgreichen Anmeldeversuche seit der letzten Anmeldung angezeigt werden. Fein abgestimmte Kennwortrichtlinien, die die Angabe von Kennwort- und Kontosperrungsrichtlinien für Benutzer und globale Sicherheitsgruppen in einer Domäne ermöglichen
Windows Server 2008 R2	Alle Active Directory-Standardfeatures, alle Features der Domänenfunktionsebene Windows Server 2008 sowie das folgende Feature: Authentifizierungsmechanismussicherung, bei der Informationen zum Typ der Anmeldemethode (Smartcard oder Benutzername/Kennwort), die zum Authentifizieren von Domänenbenutzern dient, in das Kerberos-Token der einzelnen Benutzer eingefügt werden. Wenn dieses Feature in einer Netzwerkumgebung aktiviert ist, in der eine Verbund-Identitätsverwaltungsinfrastruktur, z. B. die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS), bereitgestellt wurde, können die Informationen im Token extrahiert werden, sobald ein Benutzer versucht, auf eine Ansprüche unterstützende Anwendung zuzugreifen, die die Autorisierung auf Grundlage der Anmeldemethode eines Benutzers bestimmt.

Gesamtstrukturfunktionalität

Mit der Gesamtstrukturfunktionalität werden Features für alle Domänen in der Gesamtstruktur aktiviert. Im Betriebssystem Windows Server 2008 R2 sind vier Gesamtstrukturfunktionsebenen verfügbar: Windows 2000, Windows Server 2003 (Standard), Windows Server 2008 und Windows Server 2008 R2.

In der folgenden Tabelle werden die unter Windows Server 2008 R2 verfügbaren Gesamtstrukturfunktionsebenen und die entsprechenden unterstützten Domänencontroller aufgelistet.

Gesamtstrukturfunktionsebene	Unterstützte Domänencontroller
Windows 2000 Server	Windows NT 4.0 Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003 (Standard)	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	Windows Server 2008 R2

Wenn Sie die Gesamtstrukturfunktionsebene heraufstufen, können Domänencontroller unter früheren Betriebssystemen nicht in der Gesamtstruktur verwendet werden. Wenn Sie die Gesamtstrukturfunktionsebene beispielsweise auf Windows Server 2008 R2 heraufstufen, können der Gesamtstruktur keine Domänencontroller unter Windows Server 2008 hinzugefügt werden.

In der folgenden Tabelle werden die Features auf Gesamtstrukturebene beschrieben, die für die Gesamtstrukturfunktionsebene Windows Server 2008 R2 aktiviert sind.

Gesamtstrukturfunktionsebene	Aktivierte Features
Windows Server 2003	Alle Active Directory-Standardfeatures und die folgenden Features: Gesamtstruktur-Vertrauensstellung Domänenumbenennung Verknüpfte Wertreplikation. Änderungen in Bezug auf die Werte zum Speichern und Replizieren der Gruppenmitgliedschaft für einzelne Mitglieder, anstelle der Replikation der gesamten Mitgliedschaft als eine einzelne Einheit. Dies führt zu einer geringeren Netzwerkbandbreiten- und Prozessorauslastung während der Replikation und verhindert den möglichen Verlust von Updates, wenn verschiedenen Domänencontrollern gleichzeitig verschiedene Mitglieder hinzugefügt bzw. wenn diese entfernt werden. Möglichkeit zum Bereitstellen eines unter Windows Server 2008 ausgeführten schreibgeschützten Domänencontrollers (Read-Only Domain Controller, RODC) Verbesserte Algorithmen und Skalierbarkeit der Konsistenzprüfung (Knowledge Consistency Checker, KCC). Der Generator für standortübergreifende Topologie (Intersite Topology Generator, ISTG) verwendet verbesserte Algorithmen, die skalieren, um Gesamtstrukturen mit einer größeren Anzahl von Standorten zu unterstützen, als es auf der Gesamtstrukturfunktionsebene Windows 2000 möglich ist. Möglichkeit zum Erstellen von Instanzen der dynamischen Erweiterungsklasse mit dem Namen dynamicObject in einer Domänenverzeichnispartition Möglichkeit zum Konvertieren einer Instanz des inetOrgPerson-Objekts in eine Instanz des Benutzerobjekts (und umgekehrt). Möglichkeit zum Erstellen von Instanzen der neuen Gruppentypen (so genannte anwendungsbasierte Gruppen und LDAP-Abfragegruppen), um rollenbasierte Autorisierung zu unterstützen Deaktivierung und Neudefinition von Attributen und Klassen im Schema
Windows Server 2008	Alle Features, die auf der Gesamtstrukturfunktionsebene Windows Server 2003 verfügbar sind, jedoch keine zusätzlichen Features. Alle Domänen, die anschließend der Gesamtstruktur hinzugefügt werden, werden jedoch standardmäßig auf der Domänenfunktionsebene Windows Server 2008 ausgeführt.
Windows Server 2008 R2	Alle Features, die auf der Gesamtstrukturfunktionsebene Windows Server 2003 verfügbar sind, plus die folgenden Features: Active Directory-Papierkorb, der die Möglichkeit bietet, gelöschte Objekte in ihrer Gesamtheit wiederherzustellen, während die Active Directory-Domänendienste ausgeführt werden. Alle Domänen, die anschließend der Gesamtstruktur hinzugefügt werden, werden standardmäßig auf der Domänenfunktionsebene Windows Server 2008 R2 ausgeführt. Wenn Sie beabsichtigen, in der Gesamtstruktur nur Domänencontroller unter Windows Server 2008 R2 zu verwenden, können Sie diese Gesamtstrukturfunktionsebene zur Vereinfachung der Verwaltung auswählen. In diesem Fall müssen Sie die Domänenfunktionsebenen für die einzelnen Domänen, die Sie in der Gesamtstruktur erstellen, nie heraufstufen.

Gesamtstrukturfunktionsebene

Aktivierte Features

Windows Server 2003

Alle Active Directory-Standardfeatures und die folgenden Features:

Gesamtstruktur-Vertrauensstellung
Domänenumbenennung
Verknüpfte Wertreplikation. Änderungen in Bezug auf die Werte zum Speichern und Replizieren der Gruppenmitgliedschaft für einzelne Mitglieder, anstelle der Replikation der gesamten Mitgliedschaft als eine einzelne Einheit. Dies führt zu einer geringeren Netzwerkbandbreiten- und Prozessorauslastung während der Replikation und verhindert den möglichen Verlust von Updates, wenn verschiedenen Domänencontrollern gleichzeitig verschiedene Mitglieder hinzugefügt bzw. wenn diese entfernt werden.
Möglichkeit zum Bereitstellen eines unter Windows Server 2008 ausgeführten schreibgeschützten Domänencontrollers (Read-Only Domain Controller, RODC)
Verbesserte Algorithmen und Skalierbarkeit der Konsistenzprüfung (Knowledge Consistency Checker, KCC). Der Generator für standortübergreifende Topologie (Intersite Topology Generator, ISTG) verwendet verbesserte Algorithmen, die skalieren, um Gesamtstrukturen mit einer größeren Anzahl von Standorten zu unterstützen, als es auf der Gesamtstrukturfunktionsebene Windows 2000 möglich ist.
Möglichkeit zum Erstellen von Instanzen der dynamischen Erweiterungsklasse mit dem Namen dynamicObject in einer Domänenverzeichnispartition
Möglichkeit zum Konvertieren einer Instanz des inetOrgPerson-Objekts in eine Instanz des Benutzerobjekts (und umgekehrt).
Möglichkeit zum Erstellen von Instanzen der neuen Gruppentypen (so genannte anwendungsbasierte Gruppen und LDAP-Abfragegruppen), um rollenbasierte Autorisierung zu unterstützen
Deaktivierung und Neudefinition von Attributen und Klassen im Schema

Windows Server 2008

Alle Features, die auf der Gesamtstrukturfunktionsebene Windows Server 2003 verfügbar sind, jedoch keine zusätzlichen Features. Alle Domänen, die anschließend der Gesamtstruktur hinzugefügt werden, werden jedoch standardmäßig auf der Domänenfunktionsebene Windows Server 2008 ausgeführt.

Windows Server 2008 R2

Alle Features, die auf der Gesamtstrukturfunktionsebene Windows Server 2003 verfügbar sind, plus die folgenden Features:

Active Directory-Papierkorb, der die Möglichkeit bietet, gelöschte Objekte in ihrer Gesamtheit wiederherzustellen, während die Active Directory-Domänendienste ausgeführt werden.

Alle Domänen, die anschließend der Gesamtstruktur hinzugefügt werden, werden standardmäßig auf der Domänenfunktionsebene Windows Server 2008 R2 ausgeführt.

Wenn Sie beabsichtigen, in der Gesamtstruktur nur Domänencontroller unter Windows Server 2008 R2 zu verwenden, können Sie diese Gesamtstrukturfunktionsebene zur Vereinfachung der Verwaltung auswählen. In diesem Fall müssen Sie die Domänenfunktionsebenen für die einzelnen Domänen, die Sie in der Gesamtstruktur erstellen, nie heraufstufen.

Weitere Verweise

Verwalten von Domänen und Domänencontrollern

Grundlegendes zur Domänen- und Gesamtstrukturfunktionalität

Domänen- und Gesamtstrukturfunktionalität

Domänenfunktionalität

Gesamtstrukturfunktionalität

Weitere Verweise

Inhaltsverzeichnis