A működési szintek határozzák meg az Active Directory tartományi szolgáltatások (AD DS) azon szolgáltatásait, amelyek engedélyezve vannak tartományban vagy erdőben. Emellett korlátozzák azt is, mely Windows Server operációs rendszerek futhatnak a tartomány vagy erdő tartományvezérlőin. Ugyanakkor a működési szintek nem befolyásolják, mely operációs rendszerek futhatnak a tartományhoz vagy erdőhöz csatlakozott munkaállomásokon vagy tagkiszolgálókon.

Új tartomány vagy erdő létrehozásakor állítsa a legmagasabb olyan értékre a tartomány vagy erdő működési szintjét, amelyet a környezete biztosan képes támogatni. Így az Active Directory tartományi szolgáltatások legszélesebb körét tudja használni. Ha például biztos abban, hogy Windows Server 2008 (vagy annál korábbi) operációs rendszert futtató tartományvezérlő soha nem lesz hozzáadva a tartományhoz vagy erdőhöz, válassza a Windows Server 2008 R2 működési szintet. Ha azonban lehetséges, hogy a későbbiekben megtart vagy hozzáad Windows Server 2008 vagy korábbi operációs rendszert futtató tartományvezérlőket, a telepítéskor válassza a Windows Server 2008 működési szintet. Telepítés után is emelheti a működési szintet, ha biztos abban, hogy nincsenek, és nem is lesznek használatban ilyen tartományvezérlők.

Új erdő telepítésekor először be kell állítania az erdő működési szintjét, majd a tartomány működési szintjét. A tartomány működési szintjének értéke nem lehet alacsonyabb, mint az erdő működési szintje. Ha például az erdő működési szintjét Windows Server 2008 R2 értékre állítja, a tartomány működési szintje csak Windows Server 2008 R2 értékű lehet. A Windows 2000, a Windows Server 2003 és a Windows Server 2008 tartomány működési szintjének értékei nem lesznek elérhetők a varázsló Tartomány működési szintjének beállítása lapján. Továbbá az erdőhöz ezután hozzáadott összes tartomány alapértelmezés szerint a Windows Server 2008 R2 tartományi működési szintet kapja.

Miután a tartomány működési szintjét egy adott értékre beállította, azt már nem állíthatja vissza és nem is adhat meg alacsonyabb működési szintet, egyetlen kivétellel: ha a tartomány működési szintjét Windows Server 2008 R2 szintre lépteti elő és az erdő működési szintje Windows Windows Server 2008 vagy ennél alacsonyabb, akkor a tartomány működési szintjét visszaállíthatja Windows Server 2008 szintre. A tartomány működési szintje csak Windows Server 2008 R2 szintről Windows Server 2008 szintre állítható vissza. Ha a tartomány működési szintje Windows Server 2008 R2, akkor nem állítható vissza például Windows Server 2003 szintre.

Miután az erdő működési szintjét egy adott értékre beállította, azt már nem állíthatja vissza és nem is adhat meg alacsonyabb működési szintet, egyetlen kivétellel: ha az erdő működési szintjét Windows Server 2008 R2 szintre lépteti elő, és az Active Directory Lomtár nincs engedélyezve, akkor az erdő működési szintjét visszaállíthatja Windows Server 2008 értékre. Az erdő működési szintje csak Windows Server 2008 R2 szintről Windows Server 2008 szintre állítható vissza. Ha az erdő működési szintje Windows Server 2008 R2, akkor nem állítható vissza például Windows Server 2003 szintre.

A következő szakaszok ismertetik a tartomány és az erdő különböző működési szintjein engedélyezett szolgáltatásokat.

A tartományi működési szinteken engedélyezett szolgáltatások

A következő táblázat az egyes tartományi működési szinteken engedélyezett szolgáltatásokat és a támogatott tartományvezérlő operációs rendszereket tartalmazza.

Tartomány működési szintje Engedélyezett szolgáltatások Támogatott tartományvezérlő operációs rendszerek

Windows 2000 natív

Az Active Directory összes alapértelmezett szolgáltatása és a következők:

  • Univerzális csoportok mind terjesztési, mind biztonsági csoportok számára

  • Csoport beágyazása

  • A csoport konvertálása, ami lehetővé teszi a biztonsági csoportok és a terjesztési csoportok közötti átváltást

  • Biztonsági azonosító előzményei

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Az Active Directory összes alapértelmezett szolgáltatása, a Windows 2000 natív tartomány működési szintjének összes szolgáltatása, valamint az alábbi szolgáltatások:

  • A tartománykezelő eszköz (Netdom.exe) felhasználható a tartományvezérlő átnevezésének előkészítéséhez.

  • A bejelentkezési időbélyegző frissítése. A lastLogonTimestamp attribútumot a rendszer a felhasználóhoz vagy a számítógéphez tartozó utolsó bejelentkezési időpontra frissíti. Az attribútumot a rendszer a tartományon belül replikálja. Megjegyzendő, hogy az attribútum frissítése elmaradhat abban az esetben, ha írásvédett tartományvezérlő (RODC) hitelesíti a fiókot.

  • A userPassword attribútum beállítható az inetOrgPerson objektum és a felhasználói objektumok érvényes jelszavaként.

  • A Users és Computers tárolók átirányíthatók. Két jól ismert tároló áll rendelkezésre a számítógép és a felhasználók vagy csoportok fiókjainak tárolásához: cn=Computers,<tartomány gyökere> és cn=Users <tartomány gyökere>. A szolgáltatás használatával új jól ismert helyet definiálhat a fiókokhoz.

  • Az Engedélyezéskezelő az engedélyezési házirendeket az Active Directory tartományi szolgáltatásokban tárolja.

  • A korlátozott delegálás, melynek révén az alkalmazások a Kerberos hitelesítési protokoll eszközein keresztül kihasználhatják a felhasználói hitelesítő adatok biztonságos delegálásának előnyeit. A delegálást beállíthatja úgy, hogy csak adott célszolgáltatásokra legyen engedélyezve.

  • A szelektív hitelesítési támogatásnak köszönhetően megadhatja a megbízható erdő felhasználóit és csoportjait, akik hitelesíthetik a megbízó erdő erőforrás-kiszolgálóit.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Az Active Directory összes alapértelmezett szolgáltatása, a Windows 2000 natív és a Windows Server 2003 tartomány működési szintjeinek összes szolgáltatása, valamint az alábbi szolgáltatások:

  • Az elosztott fájlrendszer replikációs szolgáltatása támogatott a SYSVOL köteten, lehetővé téve a SYSVOL kötet tartalmának megbízhatóbb és részletesebb replikálását. Az elosztott fájlrendszer replikációs szolgáltatásának SYSVOL megosztáson történő alkalmazásához további lépések elvégzésére lehet szükség. További információt a fájlszolgáltatásokat ismertető témakörben talál (https://go.microsoft.com/fwlink/?LinkId=93167).

  • Speciális titkosítási szolgáltatások (AES 128 és 256) támogatása a Kerberos protokollhoz.

  • Utolsó interaktív bejelentkezés adatai: megjeleníti a felhasználó utolsó sikeres interaktív bejelentkezésének időpontját, a bejelentkezéshez használt munkaállomást, valamint a legutolsó bejelentkezés óta végrehajtott sikertelen kísérletek számát.

  • Minden részletre kiterjedő jelszóházirend segítségével jelszóházirendek és fiókzárolási házirendek adhatók meg a tartományhoz tartozó felhasználókhoz és globális biztonsági csoportokhoz.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Az Active Directory összes alapértelmezett szolgáltatása, a Windows 2000 natív, a Windows Server 2003 és a Windows Server 2008 működési szintjeinek összes szolgáltatása, valamint az alábbi szolgáltatások:

  • A bejelentkezési módszer típusával (intelligens kártya vagy felhasználónév és jelszó) kapcsolatos információkat csomagoló, hitelesítési mechanizmust ellenőrző szolgáltatás. A módszer segítségével történik a tartomány felhasználóinak hitelesítése az egyes felhasználók Kerberos-jogkivonatában. Ha ez a szolgáltatás olyan hálózati környezetben engedélyezett, amely összevont identitáskezelési infrastruktúrával rendelkezik (mint például az Active Directory összevonási szolgáltatások), a jogkivonatban lévő adatok kibonthatók, amikor a felhasználó olyan jogcímbarát alkalmazáshoz próbál hozzáférni, amelynek feladata a jogosultság megállapítása a felhasználói bejelentkezési módja alapján.

Windows Server 2008 R2

Az erdők működési szintjein engedélyezett szolgáltatások

A következő táblázat az erdők egyes működési szintjein engedélyezett szolgáltatásokat és a támogatott tartományvezérlő operációs rendszereket tartalmazza.

Erdő működési szintje

Engedélyezett szolgáltatások

Támogatott tartományvezérlő operációs rendszerek

Windows 2000

Az Active Directory összes alapértelmezett szolgáltatása

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Az Active Directory összes alapértelmezett szolgáltatása és a következők:

  • Erdőszintű megbízhatóság

  • Tartomány átnevezése

  • Csatolt érték replikálása (módosítja a csoporttagság tárolt értékeit, és az egyes tagok értékeit külön replikálja, nem pedig a teljes tagságot egy egységként). Ennek eredményeként a számítógép kisebb hálózati sávszélességet és kevesebb processzoridőt használ, illetve csökken az elveszett frissítések lehetősége, amely abból adódhat, hogy a tagokat párhuzamosan adják hozzá vagy távolítják el a különböző tartományvezérlőkön.

  • Írásvédett tartományvezérlő telepítésének lehetősége

  • Továbbfejlesztett tudáskonzisztencia-ellenőrző (KCC) algoritmusok és méretezhetőség. A helyközi topológiagenerátor (ISTG) továbbfejlesztett algoritmusai a méretezhetőség révén támogatják a több helyet tartalmazó erdőket, így azok a Windows 2000 működési szinten is támogatottak.

  • A tartományi címtárpartíción létrehozhatók a dynamicObject nevű dinamikus kiegészítő osztály példányai

  • Az inetOrgPerson objektumpéldányai a User objektumpéldánnyá konvertálhatók és fordítva

  • Létrehozhatók az új csoporttípusok (alapvető alkalmazáscsoportok) és az LDAP-lekérdezéscsoport példányai a szerepköralapú hitelesítés támogatásához

  • A sémához tartozó attribútumok és osztályok inaktiválása és újradefiniálása

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

A Windows Server 2003 erdő működési szintjén elérhető összes szolgáltatás használható, de továbbiak nem. Az erdőhöz később hozzáadott tartományok azonban alapértelmezés szerint a Windows Server 2008 tartományi működési szinten működnek.

Ha kizárólag olyan tartományvezérlőket kíván telepíteni, amelyek az egész erdőben Windows Server 2008 vagy Windows Server 2008 R2 rendszert használnak, kényelmi okokból érdemes ezt a működési szintet választania az erdőhöz.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

A Windows Server 2003 erdő működési szintjén elérhető összes szolgáltatás használható, valamint a következő szolgáltatások:

  • Lomtár, melynek segítségével teljes egészében visszaállíthatók a törölt objektumok, ha az Active Directory tartományi szolgáltatások aktív.

Az erdőhöz később hozzáadott tartományok alapértelmezés szerint a Windows Server 2008 R2 tartományi működési szinten működnek.

Ha kizárólag olyan tartományvezérlőket kíván telepíteni, amelyek az egész erdőben Windows Server 2008 R2 rendszert használnak, kényelmi okokból érdemes ezt a működési szintet választania az erdőhöz. Ezáltal soha nem kell emelnie az erdőben létrehozott egyes tartományok működési szintjét.

Windows Server 2008 R2

Tartalom