Funzionalità del dominio e della foresta

La funzionalità del dominio e della foresta, disponibile in Servizi di dominio Active Directory in Windows Server® 2008 R2, consente di attivare funzionalità di Active Directory a livello di dominio o di foresta all'interno dell'ambiente di rete. Sono disponibili diversi livelli di funzionalità di dominio e di foresta, in base all'ambiente di rete specifico.

Se tutti i controller di dominio nel dominio o nella foresta eseguono Windows Server 2008 R2 e il livello di funzionalità del dominio e della foresta è impostato su Windows Server 2008 R2, tutte le funzionalità a livello di dominio e di foresta sono disponibili. Quando il dominio o la foresta include controller di dominio Windows® 2000, Windows Server 2003 o Windows Server 2008, le funzionalità di Active Directory sono limitate. Per ulteriori informazioni sulla procedura di attivazione delle funzionalità a livello di dominio o di foresta, vedere Aumentare il livello di funzionalità del dominio e Aumentare il livello di funzionalità della foresta.

Funzionalità del dominio

La funzionalità del dominio abilita le funzionalità che influenzano l'intero dominio (e solo quest'ultimo). In Servizi di dominio Active Directory in Windows Server 2008 R2 sono disponibili quattro livelli di funzionalità del dominio: Windows 2000 originale, Windows Server 2003 (livello predefinito), Windows Server 2008 e Windows Server 2008 R2.

Nella tabella seguente sono illustrati i livelli di funzionalità del dominio e i relativi controller di dominio supportati:

Livello di funzionalità del dominio Controller di dominio supportati

Windows 2000 originale

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Quando si aumenta il livello di funzionalità del dominio, i controller di dominio sui quali sono in esecuzione sistemi operativi precedenti non possono essere inseriti nel dominio. Se si aumenta il livello di funzionalità del dominio portandolo a Windows Server 2008 R2, non è possibile aggiungere al dominio controller di dominio che eseguono Windows Server 2008.

Nella tabella seguente sono illustrate le funzionalità a livello di dominio attivate per i livelli di funzionalità del dominio di Servizi di dominio Active Directory in Windows Server 2008 R2.

Livello di funzionalità del dominio Funzionalità attivate

Windows 2000 originale

Tutte le funzionalità predefinite di Active Directory e le funzionalità seguenti:

  • I gruppi universali sono abilitati per i gruppi di distribuzione e di sicurezza.

  • Nidificazione dei gruppi.

  • La conversione dei gruppi è abilitata, il che rende possibile la conversione tra gruppi di sicurezza e gruppi di distribuzione.

  • Cronologia ID di sicurezza (SID)

Windows Server 2003

Tutte le funzionalità predefinite di Active Directory, tutte le funzionalità del livello di funzionalità del dominio Windows 2000 originale, più le funzionalità seguenti:

  • La disponibilità dello strumenti di gestione del dominio, Netdom.exe, per la preparazione della ridenominazione dei controller di dominio.

  • Aggiornamento del timestamp di accesso. L'attributo lastLogonTimestamp viene aggiornato con l'orario dell'ultimo accesso dell'utente o computer. Questo attributo viene replicato sul dominio.

  • La capacità di impostare l'attributo userPassword come password efficace sull'oggetto inetOrgPerson e sugli oggetti utente.

  • La capacità di reindirizzare i contenitori Utenti e computer. Per impostazione predefinita, due contenitori noti sono disponibili per l'inserimento di account computer e account utente/di gruppo: cn=Computers,<domain root> e cn=Users,<domain root>. Questa funzionalità consente di definire un nuovo percorso noto per questi account.

  • Gestione autorizzazioni è in grado di archiviare i propri criteri di autorizzazione in AD DS.

  • È inclusa la delega vincolata, che consente alle applicazioni di sfruttare la delega sicura delle credenziali dell'utente mediante il protocollo di autenticazione Kerberos. È possibile configurare la delega perché sia consentita solo su servizi di destinazione specifici.

  • L'autenticazione selettiva è supportata, consentendo di specificare utenti e gruppi da una foresta trusted cui sia consentita l'autenticazione in server di risorse in una foresta trusting.

Windows Server 2008

Tutte le funzionalità predefinite di Active Directory, tutte le funzionalità del livello di funzionalità del dominio Windows 2003, più le funzionalità seguenti:

  • Supporto della replica DFS per SYSVOL, che consente una replica più affidabile e dettagliata del contenuto SYSVOL.

  • Supporto di servizi di crittografia avanzati (AES 128 e 256) per il protocollo di autenticazione Kerberos.

  • Informazioni sull'ultimo accesso interattivo, che indicano l'ora dell'ultimo accesso interattivo riuscito per un utente, la workstation da cui è avvenuto il tentativo e il numero di tentativi di accesso non riusciti dopo l'ultimo accesso.

  • Criteri specifici per le password, che consentono di specificare criteri per le password e il blocco degli account per utenti e gruppi di sicurezza globali in un dominio.

Windows Server 2008 R2

Tutte le funzionalità predefinite di Active Directory, tutte le funzionalità del livello di funzionalità del dominio Windows Server 2008, più le funzionalità seguenti:

  • Verifica del meccanismo di autenticazione, che consente di raccogliere informazioni sul tipo di metodo di accesso (smart card oppure nome utente/password) utilizzato per l'autenticazione degli utenti di dominio nel token Kerberos di ogni utente. Quando si attiva questa funzionalità in un ambiente di rete in cui è distribuita un'infrastruttura per la gestione delle identità federative, come Active Directory Federation Services (ADFS), le informazioni nel token possono essere estratte ogni volta che un utente tenta di accedere a qualsiasi applicazione in grado di riconoscere attestazioni sviluppata per determinare le autorizzazioni in base al metodo di accesso dell'utente.

Funzionalità della foresta

La funzionalità della foresta abilita funzionalità su tutti i domini della foresta. Nel sistema operativo Windows Server 2008 R2 sono disponibili quattro livelli di funzionalità della foresta: Windows 2000, Windows Server 2003 (livello predefinito), Windows Server 2008 e Windows Server 2008 R2.

Nella tabella seguente sono illustrati i livelli di funzionalità della foresta disponibili nel sistema operativo Windows Server 2008 R2 e i relativi controller di dominio supportati.

Livello di funzionalità della foresta Controller di dominio supportati

Windows 2000

Windows NT® 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (predefinito)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Quando si aumenta il livello di funzionalità della foresta, i controller di dominio sui quali sono in esecuzione sistemi operativi precedenti non possono essere inseriti nella foresta. Se, ad esempio, si aumenta il livello di funzionalità della foresta portandolo a Windows Server 2008 R2, non è possibile aggiungere alla foresta controller di dominio che eseguono Windows Server 2008.

Nella tabella seguente sono illustrate le funzionalità a livello di foresta attivate per i livelli di funzionalità della foresta Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2.

Livello di funzionalità della foresta Funzionalità attivate

Windows Server 2003

Tutte le funzionalità predefinite di Active Directory e le funzionalità seguenti:

  • Trust tra foreste

  • Ridenominazione dei domini

  • Replica del valore collegato (le modifiche all'appartenenza ai gruppi memorizzano e replicano i valori per i singoli membri anziché per l'appartenenza come unità singola). Questo determina minore utilizzo della larghezza di banda di rete e del processore durante la replica ed elimina la possibilità di perdita di aggiornamenti quando più membri vengono aggiunti o rimossi contemporaneamente a livelli dei diversi controller di dominio.

  • La capacità di distribuire un controller di dominio di sola lettura che esegua Windows Server 2008.

  • Algoritmi di Controllo coerenza informazioni (KCC) e scalabilità migliorati. Il generatore della topologia tra siti (ISTG) utilizza algoritmi migliorati che si adattano per supportare le foreste con un maggiore numero di siti che è possibile supportare al livello di funzionalità foresta Windows 2000.

  • La capacità di creare istanze della classe ausiliaria dinamica denominata dynamicObject in una partizione di directory del dominio.

  • La capacità di convertire un'istanza dell'oggetto inetOrgPerson in un'istanza dell'oggetto User e viceversa.

  • La capacità di creare istanze di nuovi tipi di gruppi, detti gruppi applicazione di base e gruppi query Lightweight Directory Access Protocol (LDAP), per supportare l'autorizzazione basata su ruoli.

  • Disattivazione e ridefinizione degli attributi e delle classi nello schema.

Windows Server 2008

Questo livello di funzionalità offre tutte le funzionalità disponibili per il livello di funzionalità della foresta Windows Server 2003, ma nessuna funzionalità aggiuntiva. Per tutti i domini successivamente aggiunti alla foresta, tuttavia, sarà attivo il livello di funzionalità del dominio Windows Server 2008 per impostazione predefinita.

Windows Server 2008 R2

Tutte le funzionalità disponibili per il livello di funzionalità della foresta Windows Server 2003, più le funzionalità seguenti:

  • Cestino di Active Directory, che consente di ripristinare completamente gli oggetti eliminati mentre Servizi di dominio Active Directory è in esecuzione.

Per tutti i domini aggiunti successivamente alla foresta sarà attivo il livello di funzionalità del dominio Windows Server 2008 R2 per impostazione predefinita.

Se si intende includere solo controller di dominio che eseguono Windows Server 2008 R2 nell'intera foresta, è possibile scegliere questo livello di funzionalità della foresta per convenienza amministrativa. In tal caso non sarà mai necessario aumentare il livello di funzionalità del dominio per ogni dominio creato nella foresta.

Ulteriori riferimenti

Argomenti della Guida