도메인 및 포리스트 기능

Windows Server 2008 R2 AD DS(Active Directory 도메인 서비스)에서 사용할 수 있는 도메인 및 포리스트 기능은 네트워크 환경에서 도메인 차원 또는 포리스트 차원의 Active Directory 기능을 사용할 수 있게 해 줍니다. 네트워크 환경에 따라 서로 다른 수준의 도메인 기능 및 포리스트 기능을 사용할 수 있습니다.

도메인 또는 포리스트의 모든 도메인 컨트롤러에서 Windows Server 2008 R2를 실행하고 도메인 및 포리스트 기능 수준이 Windows Server 2008 R2로 설정되어 있으면 도메인 차원의 기능과 포리스트 차원의 기능을 모두 사용할 수 있습니다. 도메인 또는 포리스트에 Windows 2000, Windows Server 2003 또는 Windows Server 2008 도메인 컨트롤러가 포함된 경우에는 Active Directory 기능이 제한됩니다. 도메인 차원의 기능 또는 포리스트 차원의 기능을 사용할 수 있도록 하는 방법에 대한 자세한 내용은 도메인 기능 수준 올리기포리스트 기능 수준 올리기를 참조하십시오.

도메인 기능

도메인 기능은 전체 도메인 및 해당 도메인에만 영향을 주는 기능을 사용할 수 있게 해 줍니다. Windows Server 2008 R2 AD DS에서는 Windows 2000 기본, Windows Server 2003(기본값), Windows Server 2008 및 Windows Server 2008 R2의 네 가지 도메인 기능 수준을 사용할 수 있습니다.

다음 표에는 도메인 기능 수준 및 해당 수준에서 지원되는 도메인 컨트롤러가 나와 있습니다.

도메인 기능 수준 지원되는 도메인 컨트롤러

Windows 2000 기본

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

도메인 기능 수준을 올리면 이전 버전의 운영 체제를 실행하는 도메인 컨트롤러를 도메인에 추가할 수 없습니다. 예를 들어 도메인 기능 수준을 Windows Server 2008 R2로 올리면 Windows Server 2008을 실행하는 도메인 컨트롤러를 도메인에 추가할 수 없습니다.

다음 표에서는 각 Windows Server 2008 R2 AD DS 도메인 기능 수준에서 사용할 수 있는 도메인 차원의 기능을 설명합니다.

도메인 기능 수준 사용할 수 있는 기능

Windows 2000 기본

모든 기본 Active Directory 기능과 다음 기능

  • 메일 그룹과 보안 그룹 모두에 대해 유니버설 그룹을 사용할 수 있습니다.

  • 그룹 중첩

  • 그룹 변환이 가능합니다. 즉, 보안 그룹과 메일 그룹 간에 변환할 수 있습니다.

  • SID(보안 식별자) 기록

Windows Server 2003

모든 기본 Active Directory 기능, Windows 2000 기본 도메인 기능 수준에서 제공되는 모든 기능 및 다음 기능

  • 도메인 관리 도구인 Netdom.exe를 사용하여 도메인 컨트롤러 이름 바꾸기를 준비할 수 있습니다.

  • 로그온 타임스탬프 업데이트. lastLogonTimestamp 특성이 사용자 또는 컴퓨터의 마지막 로그온 시간으로 업데이트됩니다. 이 특성은 도메인 내에서 복제됩니다.

  • userPassword 특성을 inetOrgPerson 개체 및 사용자 개체의 유효한 암호로 설정할 수 있습니다.

  • Users 및 Computers 컨테이너를 리디렉션할 수 있습니다. 컴퓨터 및 사용자/그룹 계정을 보유할 수 있도록 기본적으로 두 개의 잘 알려진 컨테이너인 cn=Computers,<도메인 루트> 및 cn=Users,<도메인 루트>가 제공됩니다. 이 기능을 사용하면 이러한 계정에 대한 새로운 잘 알려진 위치를 정의할 수 있습니다.

  • 권한 부여 관리자에서 권한 부여 정책을 AD DS에 저장할 수 있습니다.

  • 제한된 위임이 포함됩니다. 이 위임을 사용하면 응용 프로그램에서 Kerberos 인증 프로토콜을 통해 사용자 자격 증명의 보안 위임을 이용할 수 있습니다. 특정 대상 서비스에 대해서만 위임을 허용하도록 구성할 수 있습니다.

  • 선택 인증이 지원됩니다. 이 인증을 사용하면 트러스팅 포리스트의 리소스 서버에 인증을 제공할 수 있는 트러스트된 포리스트의 사용자 및 그룹을 지정할 수 있습니다.

Windows Server 2008

모든 기본 Active Directory 기능, Windows Server 2003 도메인 기능 수준에서 제공되는 모든 기능 및 다음 기능

  • SYSVOL 내용의 보다 강력하고 세부적인 복제를 제공하는 SYSVOL에 대한 DFS(분산 파일 시스템) 복제 지원

  • Kerberos 인증 프로토콜에 대한 AES(Advanced Encryption Services) 128 및 256 지원

  • 사용자의 마지막으로 성공한 대화형 로그온 시간, 사용한 워크스테이션 및 마지막 로그온 이후로 실패한 로그온 시도 횟수를 표시하는 마지막 대화형 로그온 정보

  • 도메인의 사용자 및 글로벌 보안 그룹에 대해 암호 정책 및 계정 잠금 정책을 지정할 수 있는 FGPP(세분화된 암호 정책)

Windows Server 2008 R2

모든 기본 Active Directory 기능, Windows Server 2008 도메인 기능 수준에서 제공되는 모든 기능 및 다음 기능

  • 각 사용자의 Kerberos 토큰 내에서 도메인 사용자를 인증하는 데 사용되는 로그온 방법 유형(스마트 카드 또는 사용자 이름/암호)에 대한 정보가 포함된 인증 메커니즘 보증. 이 기능이 AD FS(Active Directory Federation Services)와 같은 페더레이션 ID 관리 인프라를 배포한 네트워크 환경에서 사용되는 경우 사용자의 로그온 방법을 기준으로 권한 부여를 결정하도록 개발된 클레임 인식 응용 프로그램에 사용자가 액세스하려고 할 때마다 토큰의 정보가 추출될 수 있습니다.

포리스트 기능

포리스트 기능은 포리스트의 모든 도메인에서 기능을 사용할 수 있게 해 줍니다. Windows Server 2008 R2 운영 체제에서는 Windows 2000, Windows Server 2003(기본값), Windows Server 2008 및 Windows Server 2008 R2의 네 가지 포리스트 기능 수준을 사용할 수 있습니다.

다음 표에는 Windows Server 2008 R2에서 사용할 수 있는 포리스트 기능 수준과 해당 수준에서 지원되는 도메인 컨트롤러가 나와 있습니다.

포리스트 기능 수준 지원되는 도메인 컨트롤러

Windows 2000 Server

Windows NT 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003(기본값)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

포리스트 기능 수준을 올리면 이전 버전의 운영 체제를 실행하는 도메인 컨트롤러를 포리스트에 추가할 수 없습니다. 예를 들어 포리스트 기능 수준을 Windows Server 2008 R2로 올리면 Windows Server 2008을 실행하는 도메인 컨트롤러를 포리스트에 추가할 수 없습니다.

다음 표에서는 Windows Server 2008 R2 포리스트 기능 수준에서 사용할 수 있는 포리스트 차원의 기능을 설명합니다.

포리스트 기능 수준 사용할 수 있는 기능

Windows Server 2003

모든 기본 Active Directory 기능과 다음 기능

  • 포리스트 트러스트

  • 도메인 이름 바꾸기

  • 연결된 값 복제. 그룹 구성원이 변경되면 전체 구성원을 단일 단위로 복제하는 대신 개별 구성원에 대한 값을 저장 및 복제합니다. 결과적으로 복제하는 동안 네트워크 대역폭 및 프로세서 사용률이 줄어들고 동시에 여러 도메인 컨트롤러에서 여러 구성원이 추가되거나 제거되는 경우 업데이트가 손실될 가능성이 거의 없습니다.

  • Windows Server 2008을 실행하는 RODC(읽기 전용 도메인 컨트롤러)를 배포할 수 있습니다.

  • KCC(정보 일관성 검사기) 알고리즘 및 확장성 향상. ISTG(사이트 간 토폴로지 생성기)는 Windows 2000 포리스트 기능 수준에서 지원되는 것보다 더 많은 수의 사이트가 포함된 포리스트를 지원하도록 확장할 수 있는 향상된 알고리즘을 사용합니다.

  • 도메인 디렉터리 파티션에 dynamicObject라는 동적 보조 클래스의 인스턴스를 만들 수 있습니다.

  • inetOrgPerson 개체 인스턴스를 User 개체 인스턴스로 변환하거나 그 반대로 변환할 수 있습니다.

  • 응용 프로그램 기본 그룹 및 LDAP(Lightweight Directory Access Protocol) 쿼리 그룹이라는 새로운 그룹 유형의 인스턴스를 만들 수 있는 기능을 통해 역할 기반 권한 부여 지원

  • 스키마에 포함된 특성 및 클래스의 비활성화 및 다시 정의

Windows Server 2008

Windows Server 2003 포리스트 기능 수준에서 사용할 수 있는 모든 기능을 제공하며 추가 기능은 제공하지 않습니다. 그러나 이후에 포리스트에 추가되는 모든 도메인은 기본적으로 Windows Server 2008 도메인 기능 수준에서 작동합니다.

Windows Server 2008 R2

Windows Server 2003 포리스트 기능 수준에서 사용할 수 있는 모든 기능과 다음 기능

  • AD DS가 실행 중일 때 삭제된 개체를 전체 복원할 수 있는 기능을 제공하는 Active Directory 휴지통

이후에 포리스트에 추가되는 모든 도메인은 기본적으로 Windows Server 2008 R2 도메인 기능 수준에서 작동합니다.

전체 포리스트에 Windows Server 2008 R2를 실행하는 도메인 컨트롤러만 포함하려는 경우 관리의 편의를 위해 이 포리스트 기능 수준을 선택할 수도 있습니다. 이렇게 하면 포리스트에서 만든 각 도메인에 대해 도메인 기능 수준을 올릴 필요가 없습니다.

추가 참조


목차