Descripción de la funcionalidad de dominios y bosques

Windows 2000 nativo

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Windows 2000 nativo

Todas las características predeterminadas de Active Directory y las características siguientes:

• Los grupos universales están habilitadas para grupos de distribución y de seguridad.
  
  
• Anidación de grupos.
  
  
• La conversión de grupos está habilitada, lo que hace posible la conversión entre grupos de seguridad y grupos de distribución.
  
  
• Historial de identificadores de seguridad (SID).
  
  

Windows Server 2003

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows 2000 nativo y las características siguientes:

• La disponibilidad de la herramienta de administración de dominios, Netdom.exe, para preparar el cambio de nombre del controlador de dominio.
  
  
• Actualización de la marca de hora de inicio de sesión. El atributo lastLogonTimestamp se actualiza con la hora en que el usuario o equipo inició sesión por última vez. Este atributo se replica dentro del dominio.
  
  
• La capacidad de establecer el atributo userPassword como la contraseña efectiva en el objeto inetOrgPerson y los objetos de usuario.
  
  
• La capacidad de redirigir los contenedores Usuarios y equipos. De manera predeterminada, se proporcionan dos contenedores conocidos para albergar cuentas de equipo y usuario o grupo: cn=Computers,<raízDeDominio> y cn=Users,<raízDeDominio>. Esta característica hace posible definir una ubicación nueva conocida para estas cuentas.
  
  
• El Administrador de autorización puede almacenar sus directivas de autorización en AD DS.
  
  
• Se incluye la delegación restringida, que hace posible que las aplicaciones aprovechen la delegación segura de credenciales de usuario por medio del protocolo de autenticación Kerberos. Puede configurar la delegación para que sólo se permita en servicios de destino específicos.
  
  
• Se admite la autenticación selectiva, que hace posible especificar los usuarios y grupos de un bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque que confía.
  
  

Windows Server 2008

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows Server 2003 y las características siguientes:

• Compatibilidad con la replicación del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicación más sólida y detallada del contenido de SYSVOL.
  
  
• Compatibilidad con los Servicios de cifrado avanzado (AES 128 y 256) para el protocolo de autenticación Kerberos.
  
  
• Información acerca del último inicio de sesión interactivo, que muestra la hora del último inicio de sesión interactivo correcto de un usuario, la estación de trabajo desde la que se inició y el número de intentos de inicio de sesión erróneos desde el último inicio de sesión.
  
  
• Directivas de contraseña muy específicas, que permiten especificar directivas de contraseña y directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.
  
  

Windows Server 2008 R2

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows Server 2008 y las características siguientes:

• La comprobación del mecanismo de autenticación, que empaqueta la información sobre el tipo de método de inicio de sesión (tarjeta inteligente o nombre de usuario/contraseña) empleado para autenticar a usuarios del dominio dentro del token de Kerberos de cada usuario. Si esta característica está habilitada en un entorno de red que ha implementado una infraestructura de administración de identidades federadas, como Servicios de federación de Active Directory (AD FS), la información del token se puede extraer siempre que un usuario intente obtener acceso a cualquier aplicación para notificaciones que se haya desarrollado para determinar la autorización en función del método de inicio de sesión de un usuario.
  
  

Windows 2000

Windows NT® 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (predeterminado)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2003

Todas las características predeterminadas de Active Directory y las características siguientes:

• Confianza de bosque
  
  
• Cambio de nombre de dominio
  
  
• Replicación de valor vinculado (cambios en los valores de replicación y almacenamiento de pertenencia a grupos para miembros individuales en lugar de replicación de toda la pertenencia como una sola unidad). Esto causa una reducción en el uso del procesador y del ancho de banda de red durante la replicación, y elimina la posibilidad de perder actualizaciones cuando se agregan o eliminan varios miembros a la vez en diferentes controladores de dominio.
  
  
• La capacidad de implementar un controlador de dominio de sólo lectura (RODC) que ejecute Windows Server 2008.
  
  
• Mejora en la escalabilidad y los algoritmos del comprobador de coherencia de la información (KCC). El generador de topología entre sitios (ISTG) usa algoritmos mejorados que se escalan para admitir bosques con un número mayor de sitios admitidos en el nivel funcional del bosque de Windows 2000.
  
  
• La capacidad de crear instancias de la clase auxiliar dinámica llamada dynamicObject en una partición de directorio de dominio.
  
  
• La capacidad de convertir una instancia de un objeto inetOrgPerson en una instancia de un objeto User, y viceversa.
  
  
• La posibilidad de crear instancias de los nuevos tipos de grupo, denominados grupos básicos de aplicación y grupos de consulta de Protocolo ligero de acceso a directorios (LDAP), para admitir la autorización basada en roles.
  
  
• Desactivación y nueva definición de atributos y clases en el esquema.
  
  

Windows Server 2008

Este nivel funcional proporciona todas las características disponibles en el nivel funcional del bosque de Windows Server 2003, pero no características adicionales. Sin embargo, todos los dominios que se agreguen posteriormente al bosque funcionarán en el nivel funcional del dominio de Windows Server 2008 de manera predeterminada.

Windows Server 2008 R2

Todas las características disponibles en el nivel funcional del bosque de Windows Server 2003, más las siguientes características:

• Papelera de reciclaje de Active Directory, que proporciona la capacidad de restaurar completamente objetos eliminados mientras se ejecuta AD DS.
  
  

Todos los dominios que se agreguen posteriormente al bosque funcionarán en el nivel funcional del dominio de Windows Server 2008 R2 de manera predeterminada.

Si tiene pensado incluir sólo controladores de dominio que ejecuten Windows Server 2008 R2 en todo el bosque, puede elegir este nivel funcional de bosque para facilitar la administración. En ese caso, nunca tendrá que elevar el nivel funcional de dominio para cada dominio que cree en el bosque.