기능 수준은 도메인 또는 포리스트에서 사용할 수 있는 AD DS(Active Directory 도메인 서비스)의 기능을 결정합니다. 또한 도메인 또는 포리스트의 도메인 컨트롤러에서 실행할 수 있는 Windows Server 운영 체제를 제한할 수도 있습니다. 반면 기능 수준은 도메인 또는 포리스트에 가입되어 있는 워크스테이션 및 구성원 서버에서 실행할 수 있는 운영 체제에는 영향을 주지 않습니다.

새 도메인 또는 새 포리스트를 만들 때 도메인 및 포리스트 기능 수준을 사용자의 환경에서 지원할 수 있는 가장 높은 값으로 설정하십시오. 이렇게 하면 가능한 한 많은 AD DS 기능을 사용할 수 있습니다. 예를 들어 Windows Server 2008 또는 이전 버전의 운영 체제를 실행하는 도메인 컨트롤러를 도메인 또는 포리스트에 추가하지 않을 것이 확실하면 Windows Server 2008 R2 기능 수준을 선택합니다. 그러나 Windows Server 2008 또는 이전 버전을 실행하는 도메인 컨트롤러를 유지하거나 추가할 수 있으면 설치 시 Windows Server 2008 기능 수준을 선택합니다. 이러한 도메인 컨트롤러를 추가할 계획이 없거나 사용 중이 아니면 설치 후 기능 수준을 올릴 수 있습니다.

새 포리스트를 설치할 때 포리스트 기능 수준을 설정하고 그런 다음 도메인 기능 수준을 설정하라는 메시지가 나타납니다. 도메인 기능 수준을 포리스트 기능 수준보다 낮은 값으로 설정할 수 없습니다. 예를 들어 포리스트 기능 수준을 Windows Server 2008 R2로 설정하면 도메인 기능 수준을 Windows Server 2008 R2로만 설정할 수 있습니다. 도메인 기능 수준 설정 마법사 페이지에서는 Windows 2000, Windows Server 2003 및 Windows Server 2008 도메인 기능 수준 값을 사용할 수 없습니다. 또한 이후에 포리스트에 추가하는 모든 도메인은 기본적으로 Windows Server 2008 R2 도메인 기능 수준을 갖게 됩니다.

도메인 기능 수준을 특정 값으로 설정한 후에는 도메인 기능 수준을 롤백하거나 낮출 수 없습니다. 단, 도메인 기능 수준을 Windows Server 2008 R2로 올리는 경우와 포리스트 기능 수준이 Windows Windows Server 2008 이하인 경우에는 도메인 기능 수준을 Windows Server 2008로 롤백할 수 있습니다. 도메인 기능 수준은 Windows Server 2008 R2에서 Windows Server 2008로만 낮출 수 있습니다. 도메인 기능 수준이 Windows Server 2008 R2로 설정되어 있는 경우에는 Windows Server 2003 등으로 롤백할 수 없습니다.

포리스트 기능 수준을 특정 값으로 설정한 후에는 포리스트 기능 수준을 롤백하거나 낮출 수 없습니다. 단, 포리스트 기능 수준을 Windows Server 2008 R2로 올리는 경우와 Active Directory 휴지통이 사용되지 않는 경우에는 포리스트 기능 수준을 Windows Server 2008로 롤백할 수 있습니다. 포리스트 기능 수준은 Windows Server 2008 R2에서 Windows Server 2008로만 낮출 수 있습니다. 포리스트 기능 수준이 Windows Server 2008 R2로 설정되어 있는 경우에는 Windows Server 2003 등으로 롤백할 수 없습니다.

다음 섹션에서는 다른 도메인 및 포리스트 기능 수준에서 사용할 수 있는 기능 세트를 설명합니다.

도메인 기능 수준에서 사용 가능한 기능

다음 표에서는 각 도메인 기능 수준에 대해 사용할 수 있는 기능 및 지원되는 도메인 컨트롤러를 보여줍니다.

도메인 기능 수준 사용할 수 있는 기능 지원되는 도메인 컨트롤러 운영 체제

Windows 2000 기본

모든 기본 Active Directory 기능과 다음 기능

  • 배포 그룹과 보안 그룹 모두에 대해 유니버설 그룹을 사용할 수 있습니다.

  • 그룹 중첩

  • 그룹 변환. 즉, 보안 그룹과 배포 그룹 간에 변환할 수 있습니다.

  • SID(보안 식별자) 기록

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

모든 기본 Active Directory 기능, Windows 2000 기본 도메인 기능 수준에서 제공되는 모든 기능 및 다음 기능

  • 도메인 관리 도구인 Netdom.exe를 사용하여 도메인 컨트롤러 이름 바꾸기를 준비할 수 있습니다.

  • 로그온 타임스탬프 업데이트. lastLogonTimestamp 특성이 사용자 또는 컴퓨터의 마지막 로그온 시간으로 업데이트됩니다. 이 특성은 도메인 내에서 복제됩니다. 이 특성은 RODC(읽기 전용 도메인 컨트롤러)가 계정을 인증하는 경우 업데이트되지 않을 수도 있습니다.

  • userPassword 특성을 inetOrgPerson 개체 및 사용자 개체에 대한 유효 암호로 설정할 수 있습니다.

  • 사용자 및 컴퓨터 컨테이너를 리디렉션할 수 있습니다. 컴퓨터 및 사용자/그룹 계정을 보유할 수 있도록 기본적으로 두 개의 잘 알려진 컨테이너인 cn=Computers,<도메인 루트> 및 cn=Users,<도메인 루트>가 제공됩니다. 이 기능을 사용하면 이러한 계정에 대한 새로운 잘 알려진 위치를 정의할 수 있습니다.

  • 권한 부여 관리자에서 권한 부여 정책을 AD DS에 저장할 수 있습니다.

  • 제한된 위임. 이 위임을 사용하면 응용 프로그램에서 Kerberos 인증 프로토콜을 통해 사용자 자격 증명의 보안 위임을 이용할 수 있습니다. 특정 대상 서비스에 대해서만 위임을 허용하도록 구성할 수 있습니다.

  • 선택 인증 지원. 이 인증을 사용하면 트러스팅 포리스트의 리소스 서버에 인증을 제공할 수 있는 트러스트된 포리스트의 사용자 및 그룹을 지정할 수 있습니다.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

모든 기본 Active Directory 기능, Windows 2000 기본 및 Windows Server 2003 도메인 기능 수준에서 제공되는 모든 기능 및 다음 기능

  • SYSVOL 내용의 보다 강력하고 세부적인 복제를 제공하는 SYSVOL에 대한 DFS(분산 파일 시스템) 복제 지원. SYSVOL에 대한 DFS 복제를 사용하려면 추가 단계를 수행해야 합니다. 자세한 내용은 파일 서비스(https://go.microsoft.com/fwlink/?LinkID=93167(페이지는 영문일 수 있음))를 참조하십시오.

  • Kerberos 프로토콜에 대한 고급 암호화 서비스(AES 128 및 256) 지원

  • 사용자의 마지막으로 성공한 대화형 로그온 시간, 사용한 워크스테이션 및 마지막 로그온 이후로 실패한 로그온 시도 횟수를 표시하는 마지막 대화형 로그온 정보

  • 도메인의 사용자 및 글로벌 보안 그룹에 대해 암호 및 계정 잠금 정책을 지정할 수 있는 세분화된 암호 정책

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

모든 기본 Active Directory 기능, Windows 2000 기본, Windows Server 2003 및 Windows Server 2008 도메인 기능 수준에서 제공되는 모든 기능 및 다음 기능

  • 각 사용자 Kerberos 토큰 내의 도메인 사용자를 인증하는 데 사용되는 로그온 방법 유형(스마트 카드 또는 사용자 이름/암호)에 대한 정보를 패키징하는 인증 메커니즘 보증. 이 기능이 ADFS(Active Directory Federation Services)와 같은 페더레이션 ID 관리 인프라를 배포한 네트워크 환경에서 사용되는 경우 사용자의 로그온 방법을 기준으로 권한 부여를 결정하도록 개발된 클레임 인식 응용 프로그램에 사용자가 액세스하려고 할 때마다 토큰의 정보가 추출될 수 있습니다.

Windows Server 2008 R2

포리스트 기능 수준에서 사용 가능한 기능

다음 표에서는 각 포리스트 기능 수준에 대해 사용할 수 있는 기능 및 지원되는 도메인 컨트롤러를 보여줍니다.

포리스트 기능 수준

사용할 수 있는 기능

지원되는 도메인 컨트롤러 운영 체제

Windows 2000

모든 기본 Active Directory 기능

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

모든 기본 Active Directory 기능과 다음 기능

  • 포리스트 트러스트

  • 도메인 이름 바꾸기

  • 연결된 값 복제(그룹 구성원이 변경되면 전체 구성원을 단일 단위로 복제하는 대신 개별 구성원에 대한 값을 저장 및 복제). 결과적으로 복제하는 동안 네트워크 대역폭 및 프로세서 사용률이 줄어들고 동시에 여러 도메인 컨트롤러에서 여러 구성원이 추가되거나 제거되는 경우 업데이트가 손실될 가능성이 거의 없습니다.

  • RODC를 배포할 수 있습니다.

  • KCC(정보 일관성 검사기) 알고리즘 및 확장성 향상. ISTG(사이트 간 토폴로지 생성기)는 Windows 2000 포리스트 기능 수준에서 지원되는 것보다 더 많은 수의 사이트가 포함된 포리스트를 지원하도록 확장할 수 있는 향상된 알고리즘을 사용합니다.

  • 도메인 디렉터리 파티션에 dynamicObject라는 동적 보조 클래스의 인스턴스를 만들 수 있습니다.

  • inetOrgPerson 개체 인스턴스를 User 개체 인스턴스로 변환하거나 그 반대로 변환할 수 있습니다.

  • 응용 프로그램 기본 그룹 및 LDAP(Lightweight Directory Access Protocol) 쿼리 그룹이라는 새로운 그룹 유형의 인스턴스를 만들 수 있으므로 역할을 기반으로 권한을 부여할 수 있습니다.

  • 스키마에 포함된 특성 및 클래스의 비활성화 및 다시 정의

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003 포리스트 기능 수준에서 사용할 수 있는 모든 기능을 제공하며 추가 기능은 제공하지 않습니다. 그러나 이후에 포리스트에 추가되는 모든 도메인은 기본적으로 Windows Server 2008 도메인 기능 수준에서 작동합니다.

전체 포리스트에 Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 도메인 컨트롤러만 포함하려는 경우 관리의 편의를 위해 이 포리스트 기능 수준을 선택할 수도 있습니다.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2003 포리스트 기능 수준에서 사용할 수 있는 모든 기능 및 다음 기능

  • 휴지통. AD DS가 실행 중인 동안 삭제된 개체를 완전히 복원할 수 있는 기능을 제공합니다.

이후에 포리스트에 추가되는 모든 도메인은 기본적으로 Windows Server 2008 R2 도메인 기능 수준에서 작동합니다.

전체 포리스트에 Windows Server 2008 R2를 실행하는 도메인 컨트롤러만 포함하려는 경우 관리의 편의를 위해 이 포리스트 기능 수준을 선택할 수도 있습니다. 이렇게 하면 포리스트에서 만든 각 도메인에 대해 도메인 기능 수준을 올릴 필요가 없습니다.

Windows Server 2008 R2

목차