Funkcjonalność domeny i lasu

Funkcjonalność domeny i lasu, dostępna w Usługach domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) w systemie Windows Server 2008 R2, umożliwia stosowanie w środowisku sieciowym funkcji usługi Active Directory działających w całej domenie lub w całym lesie. W zależności od środowiska sieciowego są dostępne różne poziomy funkcjonalności domeny i lasu.

Jeśli wszystkie kontrolery domeny w domenie lub w lesie mają uruchomiony system Windows Server 2008 R2, a poziom funkcjonalności domeny i lasu jest ustawiony na poziom systemu Windows Server 2008 R2, wszystkie funkcje działające w całej domenie i w całym lesie są dostępne. Gdy domena lub las zawiera kontrolery domeny z systemami Windows 2000, Windows Server 2003 lub Windows Server 2008, funkcje usługi Active Directory są ograniczone. Aby uzyskać więcej informacji o sposobie włączania funkcji działających w całej domenie lub w całym lesie, zobacz tematy Podnoszenie poziomu funkcjonalności domeny i Podnoszenie poziomu funkcjonalności lasu.

Funkcjonalność domeny

Funkcjonalność domeny udostępnia funkcje mające wpływ na działanie całej domeny i tylko jej. W usługach AD DS systemu Windows Server 2008 R2 są dostępne cztery poziomy funkcjonalności domeny: Windows 2000 macierzysty, Windows Server 2003 (domyślny), Windows Server 2008 oraz Windows Server 2008 R2.

W poniżej tabeli wymieniono poziomy funkcjonalności domeny i odpowiadające im obsługiwane kontrolery domeny.

Poziom funkcjonalności domeny Obsługiwane kontrolery domeny

Windows 2000 macierzysty

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Gdy poziom funkcjonalności domeny zostanie podniesiony, do domeny nie będzie można wprowadzać kontrolerów domeny z systemami operacyjnymi w wersjach wcześniejszych. Na przykład, jeśli poziom funkcjonalności domeny zostanie podniesiony do poziomu systemu Windows Server 2008 R2, nie będzie można dodawać do takiej domeny kontrolerów domeny z systemem Windows Server 2008.

W poniższej tabeli opisano funkcje działające w całej domenie, które są włączone dla poziomów funkcjonalności domeny usług AD DS systemu Windows Server 2008 R2.

Poziom funkcjonalności domeny Włączone funkcje

Windows 2000 macierzysty

Wszystkie domyślne funkcje usługi Active Directory oraz następujące funkcje:

  • Są włączone grupy uniwersalne - zarówno dla grup dystrybucyjnych, jak i grup zabezpieczeń.

  • Zagnieżdżanie grup.

  • Jest włączona konwersja grup, co umożliwia konwertowanie między grupami zabezpieczeń a grupami dystrybucyjnymi.

  • Historia identyfikatorów zabezpieczeń SID.

Windows Server 2003

Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny systemu Windows 2000 macierzystego, a także następujące funkcje:

  • Możliwość używania narzędzia do zarządzania domeną Netdom.exe w celu przeprowadzania przygotowań do zmiany nazwy kontrolera domeny.

  • Aktualizowanie sygnatury czasowej logowania. Atrybut lastLogonTimestamp jest aktualizowany z użyciem czasu ostatniego logowania użytkownika lub komputera. Ten atrybut jest replikowany w obrębie domeny.

  • Możliwość ustawiania atrybutu userPassword jako działającego hasła dla obiektu inetOrgPerson i obiektów użytkowników.

  • Możliwość przekierowywania kontenerów Użytkownicy i Komputery. Domyślnie do przechowywania kont komputerów i kont grup/użytkowników są stosowane dwa dobrze znane kontenery: cn=Komputery,<katalog_główny_domeny> oraz cn=Użytkownicy,<katalog_główny_domeny>. Dzięki tej funkcji można zdefiniować nową dobrze znaną lokalizację dla tych kont.

  • Menedżer autoryzacji może przechowywać swoje zasady autoryzacji w usługach AD DS.

  • Jest uwzględnione delegowanie ograniczone, co umożliwia aplikacjom korzystanie z bezpiecznego delegowania poświadczeń użytkowników przy użyciu protokołu uwierzytelniania Kerberos. Delegowanie można skonfigurować w taki sposób, aby było dozwolone tylko dla określonych usług docelowych.

  • Jest obsługiwane uwierzytelnianie selektywne, co umożliwia określanie użytkowników i grup z lasu zaufanego, w przypadku których jest dozwolone uwierzytelnianie na serwerach zasobów w lesie ufającym.

Windows Server 2008

Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny systemu Windows Server 2003, a także następujące funkcje:

  • Obsługa replikacji rozproszonego systemu plików (DFS, Distributed File System) dla woluminu SYSVOL, która zapewnia bardziej niezawodną i szczegółową replikację zawartości woluminu SYSVOL.

  • Obsługa szyfrowania AES (Advanced Encryption Services, 128 i 256) dla protokołu uwierzytelniania Kerberos.

  • Funkcja informacji o ostatnim logowaniu interakcyjnym, która umożliwia wyświetlanie czasu ostatniego pomyślnego logowania interakcyjnego dla użytkownika oraz informacji o stacji roboczej, z której przeprowadzono logowanie, jak również o liczbie nieudanych prób logowania od czasu ostatniego logowania.

  • Szczegółowe zasady haseł (FGPP), które pozwalają określać zasady haseł i zasady blokowania kont dla użytkowników oraz globalnych grup zabezpieczeń w domenie.

Windows Server 2008 R2

Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny systemu Windows Server 2008, a także następująca funkcja:

  • Gwarancja mechanizmu uwierzytelniania, dzięki której informacje dotyczące typu metody logowania (karta inteligentna lub nazwa użytkownika/hasło) używanej do uwierzytelniania użytkowników domeny są umieszczane w tokenie protokołu Kerberos każdego użytkownika. Po włączeniu tej funkcji w środowisku sieciowym, w którym wdrożono infrastrukturę do federacyjnego zarządzania tożsamościami (na przykład w usłudze Active Directory Federation Services, AD FS), informacje zawarte w tokenie mogą być wyodrębniane zawsze wtedy, gdy użytkownik próbuje uzyskać dostęp do aplikacji obsługującej oświadczenia, która określa autoryzację na podstawie metody logowania użytkownika.

Funkcjonalność lasu

Funkcjonalność lasu umożliwia włączenie funkcji działających we wszystkich domenach w lesie. W systemie operacyjnym Windows Server 2008 R2 są dostępne cztery poziomy funkcjonalności lasu: Windows 2000, Windows Server 2003 (domyślny), Windows Server 2008 i Windows Server 2008 R2.

W poniższej tabeli wymieniono poziomy funkcjonalności lasu dostępne w systemie Windows Server 2008 R2 i odpowiadające im obsługiwane kontrolery domeny.

Poziom funkcjonalności lasu Obsługiwane kontrolery domeny

Windows 2000 Server

Windows NT 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (domyślny)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Gdy poziom funkcjonalności lasu zostanie podniesiony, do lasu nie będzie można wprowadzać kontrolerów domeny z systemami operacyjnymi w wersjach wcześniejszych. Na przykład po podniesieniu poziomu funkcjonalności lasu do poziomu systemu Windows Server 2008 R2 nie będzie można dodawać do lasu kontrolerów domeny z systemem Windows Server 2008.

W poniższej tabeli opisano funkcje działające w całym lesie, które są włączone dla poziomów funkcjonalności lasu systemu Windows Server 2008 R2.

Poziom funkcjonalności lasu Włączone funkcje

Windows Server 2003

Wszystkie domyślne funkcje usługi Active Directory oraz następujące funkcje:

  • Zaufanie lasu.

  • Zmiana nazw domen.

  • Replikacja wartości połączonych. W przypadku zmian dotyczących członkostwa w grupach przechowywanie i replikowanie wartości jest przeprowadzane w odniesieniu do indywidualnych elementów członkowskich zamiast replikowania całego członkostwa jako pojedynczej jednostki. Dzięki temu można uzyskać mniejsze zużycie pasma i procesora podczas replikacji oraz wyeliminować możliwość utraty aktualizacji w przypadku, gdy różne elementy członkowskie są dodawane i usuwane jednocześnie na różnych kontrolerach domeny.

  • Możliwość wdrożenia kontrolera domeny tylko do odczytu (RODC) z systemem Windows Server 2008.

  • Większa skalowalność i ulepszone algorytmy narzędzia sprawdzania spójności informacji (KCC). Generator topologii międzylokacyjnej (ISTG) używa ulepszonych algorytmów, które mogą być stosowane do obsługi lasów z większą liczbą lokacji, niż jest to możliwe na poziomie funkcjonalności lasu systemu Windows 2000.

  • Możliwość tworzenia wystąpień dynamicznej klasy pomocniczej o nazwie dynamicObject w partycji katalogu domeny.

  • Możliwość konwertowania wystąpienia obiektu klasy inetOrgPerson na wystąpienie obiektu klasy User i odwrotnie.

  • Możliwość tworzenia wystąpień nowych typów grup nazywanych grupami podstawowymi aplikacji oraz grup zapytań LDAP (Lightweight Directory Access Protocol) do obsługi autoryzacji opartej na rolach.

  • Możliwość dezaktywowania i ponownego definiowania atrybutów oraz klas w schemacie.

Windows Server 2008

Wszystkie funkcje dostępne na poziomie funkcjonalności lasu systemu Windows Server 2003, ale bez żadnych dodatkowych funkcji. Wszystkie domeny, które zostaną dodane do tego lasu, będą jednak domyślnie działać na poziomie funkcjonalności domeny systemu Windows Server 2008.

Windows Server 2008 R2

Wszystkie funkcje dostępne na poziomie funkcjonalności lasu systemu Windows Server 2003, a także następujące funkcje:

  • Kosz usługi Active Directory umożliwiający przywracanie w całości usuniętych obiektów w czasie działania usług AD DS.

Wszystkie domeny, które zostaną dodane do lasu, będą domyślnie działać na poziomie funkcjonalności domeny systemu Windows Server 2008 R2.

Jeśli jest planowane uwzględnienie tylko kontrolerów domeny z systemem Windows Server 2008 R2 w całym lesie, można wybrać ten poziom funkcjonalności lasu w celu ułatwienia czynności administracyjnych. W takim przypadku nie będzie trzeba podnosić poziomu funkcjonalności dla każdej domeny utworzonej w tym lesie.

Dodatkowe informacje

Spis treści