I livelli di funzionalità determinano le funzionalità di Servizi di dominio Active Directory abilitate in un dominio o in una foresta. Limitano inoltre i sistemi operativi Windows Server che possono essere eseguiti su controller di dominio nel dominio o nella foresta. I livelli di funzionalità, tuttavia, non influiscono sui sistemi operativi che possono essere eseguiti su workstation e server membri uniti al dominio o alla foresta.

Quando si crea un nuovo dominio o una nuova foresta, impostare i livelli di funzionalità sui valori massimi che l'ambiente è in grado di supportare. In questo modo è possibile sfruttare il maggior numero possibile di funzionalità di Servizi di dominio Active Directory. Se, ad esempio, si è certi che al dominio o alla foresta non verranno mai aggiunti controller di dominio che eseguono Windows Server 2008, o un sistema operativo precedente, selezionare il livello di funzionalità Windows Server 2008 R2. Se invece è possibile che verranno mantenuti o aggiunti controller di dominio che eseguono Windows Server 2008 o versioni precedenti, selezionare il livello di funzionalità Windows Server 2008 durante l'installazione. È possibile aumentare il livello di funzionalità dopo l'installazione, quando si è certi che tali controller di dominio non verranno aggiunti o siano ancora in uso.

Quando si installa una nuova foresta viene richiesto di impostare il livello di funzionalità della foresta e quindi il livello di funzionalità del dominio. Non è possibile impostare il livello di funzionalità del dominio su un valore inferiore rispetto al livello di funzionalità della foresta. Se, ad esempio, si imposta il livello di funzionalità della foresta su Windows Server 2008 R2, è possibile impostare il livello di funzionalità del dominio solo su Windows Server 2008 R2. I valori del livello di funzionalità del dominio Windows 2000, Windows Server 2003 e Windows Server 2008 non saranno disponibili nella pagina della procedura guidata Impostazione livello funzionalità dominio. Tutti i domini aggiunti successivamente a tale foresta, inoltre, presenteranno il livello di funzionalità del dominio Windows Server 2008 R2 per impostazione predefinita.

Dopo l'impostazione del livello di funzionalità del dominio su un particolare valore, non è possibile ripristinare il valore precedente o diminuire il livello di funzionalità con una sola eccezione: quando si aumenta il livello di funzionalità del dominio a Windows Server 2008 R2 e il livello di funzionalità della foresta è Windows Windows Server 2008 o inferiore, è possibile ripristinare il livello di funzionalità del dominio su Windows Server 2008. È possibile diminuire il livello di funzionalità del dominio solo da Windows Server 2008 R2 a Windows Server 2008. Se il livello di funzionalità del dominio è impostato su Windows Server 2008 R2 non è possibile ripristinare un livello inferiore, ad esempio Windows Server 2003.

Dopo l'impostazione del livello di funzionalità della foresta su un particolare valore, non è possibile ripristinare il valore precedente o diminuire il livello di funzionalità con una sola eccezione: quando si aumenta il livello di funzionalità della foresta a Windows Server 2008 R2 e il Cestino di Active Directory non è attivato, è possibile ripristinare il livello di funzionalità della foresta su Windows Server 2008. È possibile diminuire il livello di funzionalità della foresta solo da Windows Server 2008 R2 a Windows Server 2008. Se il livello di funzionalità della foresta è impostato su Windows Server 2008 R2 non è possibile ripristinarlo, ad esempio a Windows Server 2003.

Nelle sezioni seguenti vengono illustrati gli insiemi di funzionalità abilitati a livelli di funzionalità della foresta e del dominio diversi.

Funzionalità abilitate ai livelli di funzionalità del dominio

Nella tabella seguente vengono elencate le funzionalità e i sistemi operativi supportati per i controller di dominio per ogni livello di funzionalità del dominio.

Livello di funzionalità del dominio Funzionalità attive Sistemi operativi supportati per i controller di dominio

Windows 2000 originale

Tutte le funzionalità predefinite di Active Directory, più le seguenti:

  • Gruppi universali per i gruppi di distribuzione e di sicurezza

  • Nidificazione dei gruppi

  • Conversione dei gruppi, che rende possibile la conversione tra gruppi di sicurezza e gruppi di distribuzione

  • Cronologia ID di sicurezza (SID)

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Tutte le funzionalità predefinite di Active Directory, tutte le funzionalità del livello di funzionalità del dominio Windows 2000 originale, più le funzionalità seguenti:

  • Lo strumento di gestione dei domini, Netdom.exe, disponibile per preparare la ridenominazione dei controller di dominio.

  • Aggiornamento del timestamp di accesso. L'attributo lastLogonTimestamp verrà aggiornato con l'orario dell'ultimo accesso dell'utente o computer. Questo attributo viene replicato sul dominio. Si noti che questo attributo può non essere aggiornato se un controller di dominio di sola lettura autentica l'account.

  • È possibile impostare l'attributo userPassword come password effettiva in oggetti inetOrgPerson e oggetti utente.

  • È possibile reindirizzare contenitori Utenti e computer. Per impostazione predefinita, due contenitori noti sono disponibili per l'inserimento di account computer e account utente/di gruppo: cn=Computers,<domain root> e cn=Users,<domain root>. Con questa funzionalità è possibile definire un nuovo percorso noto per questi account.

  • Gestione autorizzazioni è in grado di archiviare i propri criteri di autorizzazione in AD DS.

  • Delega vincolata, che consente alle applicazioni di sfruttare la delega sicura delle credenziali dell'utente mediante il protocollo di autenticazione Kerberos. È possibile configurare la delega perché sia consentita solo su servizi di destinazione specifici.

  • Supporto per autenticazione selettiva, che rende possibile specificare utenti e gruppi da una foresta trusted cui sia consentita l'autenticazione in server di risorse in una foresta trusting.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Tutte le funzionalità predefinite di Active Directory, tutte le funzionalità dei livelli di funzionalità del dominio Windows 2000 originale e Windows Server 2003, più le funzionalità seguenti:

  • Supporto della replica DFS per SYSVOL, che consente una replica più affidabile e dettagliata del contenuto SYSVOL. Sarà necessario effettuare passaggi aggiuntivi per utilizzare la replica DFS per SYSVOL. Per ulteriori informazioni, vedere Servizi file (https://go.microsoft.com/fwlink/?LinkId=93167).

  • Supporto di servizi di crittografia avanzati (AES 128 e 256) per il protocollo Kerberos.

  • Informazioni sull'ultimo accesso interattivo, che indicano l'ora dell'ultimo accesso interattivo riuscito per un utente, la workstation da cui è avvenuto il tentativo e il numero di tentativi di accesso non riusciti dopo l'ultimo accesso.

  • Criteri specifici per le password, che consentono di specificare criteri per le password e il blocco degli account per utenti e gruppi di sicurezza globali in un dominio.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Tutte le funzionalità predefinite di Active Directory, tutte le funzionalità dei livelli di funzionalità Windows 2000 originale, Windows Server 2003 e Windows Server 2008, più le funzionalità seguenti:

  • Verifica del meccanismo di autenticazione, che consente di raccogliere informazioni sul tipo di metodo di accesso (smart card oppure nome utente/password) utilizzato per l'autenticazione degli utenti di dominio nel token Kerberos di ogni utente. Quando si attiva questa funzionalità in un ambiente di rete in cui è distribuita un'infrastruttura per la gestione delle identità federative, come Active Directory Federation Services (ADFS), le informazioni nel token possono essere estratte ogni volta che un utente tenta di accedere a qualsiasi applicazione in grado di riconoscere attestazioni sviluppata per determinare le autorizzazioni in base al metodo di accesso dell'utente.

Windows Server 2008 R2

Funzionalità abilitate ai livelli di funzionalità della foresta

Nella tabella seguente vengono elencate le funzionalità e i sistemi operativi supportati per i controller di dominio per ogni livello di funzionalità della foresta.

Livello di funzionalità della foresta

Funzionalità attivate

Sistemi operativi supportati per i controller di dominio

Windows 2000

Tutte le funzionalità predefinite di Active Directory

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Tutte le funzionalità predefinite di Active Directory, più le seguenti:

  • Trust tra foreste.

  • Ridenominazione dei domini.

  • Replica del valore collegato (le modifiche all'appartenenza ai gruppi memorizzano e replicano i valori per i singoli membri anziché per l'appartenenza come unità singola). Questo determina minore utilizzo della larghezza di banda di rete e del processore durante la replica ed elimina la possibilità di perdita di aggiornamenti quando più membri vengono aggiunti o rimossi contemporaneamente a livelli dei diversi controller di dominio.

  • Possibilità di distribuire un controller di dominio di sola lettura

  • Algoritmi di Controllo coerenza informazioni (KCC) e scalabilità migliorati. Il generatore della topologia tra siti (ISTG) utilizza algoritmi migliorati che si adattano per supportare le foreste con un maggiore numero di siti che è possibile supportare al livello di funzionalità foresta Windows 2000.

  • Possibilità di creare istanze della classe ausiliaria dinamica denominata dynamicObject in una partizione di directory del dominio

  • Possibilità di convertire un'istanza dell'oggetto inetOrgPerson in un'istanza dell'oggetto User e viceversa

  • Possibilità di creare istanze di nuovi tipi di gruppi, detti gruppi di base applicazioni e gruppi query LDAP (Lightweight Directory Access Protocol), per supportare l'autorizzazione basata su ruoli

  • Disattivazione e ridefinizione degli attributi e delle classi nello schema

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Tutte le funzionalità disponibili per il livello di funzionalità della foresta Windows Server 2003, ma nessuna funzionalità aggiuntiva. Per tutti i domini successivamente aggiunti alla foresta, tuttavia, sarà attivo il livello di funzionalità del dominio Windows Server 2008 per impostazione predefinita.

Se si intende includere solo controller di dominio che eseguono Windows Server 2008 o Windows Server 2008 R2 nell'intera foresta, è possibile scegliere questo livello di funzionalità della foresta per convenienza amministrativa.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Tutte le funzionalità disponibili per il livello di funzionalità della foresta Windows Server 2003, più la funzionalità seguente:

  • Cestino, che consente di ripristinare completamente gli oggetti eliminati mentre Servizi di dominio Active Directory è in esecuzione.

Per tutti i domini aggiunti successivamente alla foresta sarà attivo il livello di funzionalità del dominio Windows Server 2008 R2 per impostazione predefinita.

Se si intende includere solo controller di dominio che eseguono Windows Server 2008 R2 nell'intera foresta, è possibile scegliere questo livello di funzionalità della foresta per convenienza amministrativa. In tal caso non sarà mai necessario aumentare il livello di funzionalità del dominio per ogni dominio creato nella foresta.

Windows Server 2008 R2

Argomenti della Guida