Funzionalità del dominio e della foresta

La funzionalità del dominio e della foresta, disponibile in Servizi di dominio Active Directory in Windows Server 2008 R2, consente di attivare funzionalità di Active Directory a livello di dominio o di foresta all'interno dell'ambiente di rete. A seconda dell'ambiente di rete specifico, sono disponibili livelli di funzionalità del dominio e della foresta diversi.

Se tutti i controller di dominio nel dominio o nella foresta eseguono Windows Server 2008 R2 e i livelli di funzionalità del dominio e della foresta sono impostati su Windows Server 2008 R2, tutte le funzionalità a livello di dominio e di foresta saranno disponibili. Quando il dominio o la foresta include controller di dominio Windows 2000, Windows Server 2003 o Windows Server 2008, le funzionalità di Active Directory sono limitate. Per ulteriori informazioni sulla procedura di attivazione delle funzionalità a livello di dominio o di foresta, vedere Aumentare il livello di funzionalità del dominio e Aumentare il livello di funzionalità della foresta.

Funzionalità del dominio

La funzionalità del dominio attiva le funzionalità che hanno effetto sull'intero dominio e solo su tale dominio. In Servizi di dominio Active Directory in Windows Server 2008 R2 sono disponibili quattro livelli di funzionalità del dominio: Windows 2000 originale, Windows Server 2003 (livello predefinito), Windows Server 2008 e Windows Server 2008 R2.

Nella tabella seguente vengono elencati i livelli di funzionalità del dominio e i relativi controller di dominio supportati:

Livello di funzionalità del dominio Controller di dominio supportati

Windows 2000 originale

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Quando si aumenta il livello di funzionalità del dominio, i controller di dominio che eseguono sistemi operativi precedenti non possono essere inseriti nel dominio. Se si aumenta il livello di funzionalità del dominio portandolo a Windows Server 2008 R2, non è possibile aggiungere al dominio controller di dominio che eseguono Windows Server 2008.

Nella tabella seguente sono illustrate le funzionalità a livello di dominio attivate per i livelli di funzionalità del dominio di Servizi di dominio Active Directory in Windows Server 2008 R2.

Livello di funzionalità del dominio Funzionalità attive

Windows 2000 originale

Tutte le funzionalità predefinite di Active Directory e le funzionalità seguenti:

  • I gruppi universali sono abilitati per i gruppi di distribuzione e di sicurezza.

  • Nidificazione dei gruppi.

  • La conversione dei gruppi è abilitata, rendendo possibile la conversione tra gruppi di sicurezza e gruppi di distribuzione.

  • Cronologia ID di sicurezza (SID).

Windows Server 2003

Tutte le funzionalità predefinite di Active Directory, tutte le funzionalità del livello di funzionalità del dominio Windows 2000 originale, più le funzionalità seguenti:

  • La disponibilità dello strumenti di gestione del dominio, Netdom.exe, per la preparazione della ridenominazione dei controller di dominio.

  • Aggiornamento del timestamp di accesso. L'attributo lastLogonTimestamp viene aggiornato con l'ora dell'ultimo accesso da parte dell'utente o del computer. Questo attributo viene replicato all'interno del dominio.

  • La capacità di impostare l'attributo userPassword come password efficace sull'oggetto inetOrgPerson e sugli oggetti utente.

  • La capacità di reindirizzare i contenitori Utenti e computer. Per impostazione predefinita, per l'inserimento di account computer e account utente/di gruppo sono disponibili due contenitori noti: cn=Computers,<radice di dominio> e cn=Users,<radice di dominio>. Questa funzionalità consente di definire un nuovo percorso noto per questi account.

  • Gestione autorizzazioni è in grado di archiviare i relativi criteri di autorizzazione in Servizi di dominio Active Directory.

  • È inclusa la delega vincolata, che consente alle applicazioni di sfruttare la delega sicura delle credenziali dell'utente mediante il protocollo di autenticazione Kerberos. È possibile configurare la delega affinché sia consentita solo su servizi di destinazione specifici.

  • L'autenticazione selettiva è supportata, consentendo di specificare utenti e gruppi da una foresta trusted cui sia consentita l'autenticazione in server di risorse in una foresta trusting.

Windows Server 2008

Tutte le funzionalità predefinite di Active Directory, tutte le funzionalità del livello di funzionalità del dominio Windows 2003, più le funzionalità seguenti:

  • Supporto della replica DFS per SYSVOL, che consente una replica più affidabile e dettagliata del contenuto SYSVOL.

  • Supporto di servizi di crittografia avanzati (AES 128 e 256) per il protocollo di autenticazione Kerberos.

  • Informazioni sull'ultimo accesso interattivo, che indicano l'ora dell'ultimo accesso interattivo riuscito per un utente, la workstation da cui è stato eseguito l'accesso e il numero di tentativi di accesso non riusciti dopo l'ultimo accesso.

  • Criteri specifici per le password che consentono di specificare criteri per le password e il blocco degli account per utenti e gruppi di sicurezza globali in un dominio.

Windows Server 2008 R2

Tutte le funzionalità predefinite di Active Directory, tutte le funzionalità del livello di funzionalità del dominio Windows Server 2008, più la funzionalità seguente:

  • Verifica del meccanismo di autenticazione, che consente di raccogliere informazioni sul tipo di metodo di accesso (smart card oppure nome utente/password) utilizzato per l'autenticazione degli utenti di dominio nel token Kerberos di ogni utente. Quando si attiva questa funzionalità in un ambiente di rete in cui è distribuita un'infrastruttura per la gestione delle identità federative, come Active Directory Federation Services (ADFS), le informazioni nel token possono essere estratte ogni volta che un utente tenta di accedere a qualsiasi applicazione in grado di riconoscere attestazioni sviluppata per determinare le autorizzazioni in base al metodo di accesso dell'utente.

Funzionalità della foresta

La funzionalità della foresta determina l'attivazione di funzionalità in tutti i domini della foresta. Nel sistema operativo Windows Server 2008 R2 sono disponibili quattro livelli di funzionalità della foresta: Windows 2000, Windows Server 2003 (livello predefinito), Windows Server 2008 e Windows Server 2008 R2.

Nella tabella seguente sono illustrati i livelli di funzionalità della foresta disponibili in Windows Server 2008 R2 e i relativi controller di dominio supportati.

Livello di funzionalità della foresta Controller di dominio supportati

Windows 2000 Server

Windows NT 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (predefinito)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Quando si aumenta il livello di funzionalità della foresta, i controller di dominio che eseguono sistemi operativi precedenti non possono essere inseriti nella foresta. Se, ad esempio, si aumenta il livello di funzionalità della foresta portandolo a Windows Server 2008 R2, non è possibile aggiungere alla foresta controller di dominio che eseguono Windows Server 2008.

Nella tabella seguente vengono descritte le funzionalità a livello di foresta attivate per i livelli di funzionalità della foresta Windows Server 2008 R2.

Livello di funzionalità della foresta Funzionalità attive

Windows Server 2003

Tutte le funzionalità predefinite di Active Directory, più le seguenti:

  • Trust tra foreste.

  • Ridenominazione dei domini.

  • Replica del valore collegato. Le modifiche dell'appartenenza ai gruppi comportano l'archiviazione e la replica dei valori per i singoli membri anziché per l'appartenenza come unità singola. Questo determina un minore utilizzo della larghezza di banda di rete e del processore durante la replica ed elimina la possibilità di perdita degli aggiornamenti quando più membri vengono aggiunti o rimossi contemporaneamente in corrispondenza di controller di dominio diversi.

  • La capacità di distribuire un controller di dominio di sola lettura che esegue Windows Server 2008.

  • Algoritmi KCC (Knowledge Consistency Checker) e di scalabilità migliorati. Il generatore della topologia tra siti (ISTG) utilizza algoritmi migliorati che si adattano per supportare le foreste con un numero maggiore di siti che è possibile supportare al livello di funzionalità della foresta Windows 2000.

  • La capacità di creare istanze della classe ausiliaria dinamica denominata dynamicObject in una partizione di directory del dominio.

  • La capacità di convertire un'istanza dell'oggetto inetOrgPerson in un'istanza dell'oggetto User e viceversa.

  • La capacità di creare istanze di nuovi tipi di gruppi, detti gruppi applicazione di base e gruppi query Lightweight Directory Access Protocol (LDAP), per supportare l'autorizzazione basata su ruoli.

  • Disattivazione e ridefinizione degli attributi e delle classi nello schema.

Windows Server 2008

Tutte le funzionalità disponibili per il livello di funzionalità della foresta Windows Server 2003, ma nessuna funzionalità aggiuntiva. Per tutti i domini successivamente aggiunti alla foresta, sarà tuttavia attivo il livello di funzionalità del dominio Windows Server 2008 per impostazione predefinita.

Windows Server 2008 R2

Tutte le funzionalità disponibili per il livello di funzionalità della foresta Windows Server 2003, più le funzionalità seguenti:

  • Cestino di Active Directory, che consente di ripristinare completamente gli oggetti eliminati mentre Servizi di dominio Active Directory è in esecuzione.

Per tutti i domini aggiunti successivamente alla foresta sarà attivo il livello di funzionalità del dominio Windows Server 2008 R2 per impostazione predefinita.

Se si intende includere solo controller di dominio che eseguono Windows Server 2008 R2 nell'intera foresta, è possibile scegliere questo livello di funzionalità della foresta per convenienza amministrativa. In tal caso, non sarà mai necessario aumentare il livello di funzionalità del dominio per ogni dominio creato nella foresta.

Ulteriori riferimenti


Argomenti della Guida