Os níveis funcionais determinam os recursos dos Serviços de Domínio Active Directory (AD DS) que estão habilitados em um domínio ou floresta. Eles também restringem os sistemas operacionais Windows Server que podem ser executados em controladores de domínio na floresta ou no domínio. Entretanto, os níveis funcionais não afetam os sistemas operacionais que podem ser executados em estações de trabalho e servidores membros associados à floresta ou ao domínio.

Quando você criar um novo domínio ou uma nova floresta, defina os níveis funcionais do domínio e da floresta com os valores mais altos que você sabe que seu ambiente pode suportar. Desse modo, você poderá aproveitar os recursos do AD DS o máximo possível. Por exemplo, se você tem certeza de que nenhum controlador de domínio que executa o Windows Server 2008 (ou qualquer sistema operacional anterior) será adicionado ao domínio ou à floresta, selecione o nível funcional Windows Server 2008 R2. Por outro lado, se for possível reter ou adicionar controladores de domínio que executem o Windows Server 2008 ou anterior, selecione o nível funcional Windows Server 2008 durante a instalação. Você pode elevar o nível funcional após a instalação, quando tiver certeza de que nenhum controlador de domínio será adicionado ou ainda está em uso.

Quando você instala uma nova floresta, é solicitado a definir o nível funcional dela e depois o nível funcional do domínio. Você não pode definir o nível funcional do domínio com um valor inferior ao nível funcional da floresta. Por exemplo, se você definir o nível funcional da floresta para Windows Server 2008 R2, você poderá definir o nível funcional do domínio somente como Windows Server 2008 R2. Os valores de nível funcional de domínio Windows 2000, Windows Server 2003 e Windows Server 2008 não estarão disponíveis na página Definir nível funcional de domínio do assistente. Além disso, todos os domínios que forem adicionados subsequentemente a esta floresta terão o nível funcional de domínio Windows Server 2008 R2 por padrão.

Após definir o nível funcional do domínio como um determinado valor, não será possível reverter ou diminuir esse nível, com uma exceção: ao aumentar o nível funcional do domínio para Windows Server 2008 R2, se o nível funcional da floresta for Windows Windows Server 2008 ou inferior, você poderá reverter o nível funcional do domínio para Windows Server 2008. O nível funcional do domínio só pode ser diminuído de Windows Server 2008 R2 para Windows Server 2008. Se esse nível for definido como Windows Server 2008 R2, ele não poderá ser revertido, por exemplo, para Windows Server 2003.

Após definir o nível funcional da floresta como um determinado valor, não será possível reverter ou diminuir esse nível, com uma exceção: ao elevar o nível funcional da floresta para Windows Server 2008 R2, e se a Lixeira do Active Directory não estiver habilitada, você poderá reverter o nível funcional da floresta para Windows Server 2008. O nível funcional da floresta só pode ser diminuído de Windows Server 2008 R2 para Windows Server 2008. Se esse nível for definido como Windows Server 2008 R2, ele não poderá ser revertido, por exemplo, para Windows Server 2003.

As seções a seguir explicam os conjuntos de recursos que estão habilitados em diferentes níveis funcionais de domínio e floresta.

Recursos habilitados nos níveis funcionais de domínio

A tabela a seguir listas os recursos habilitados e os sistemas operacionais do controlador de domínio suportados para cada nível funcional de domínio.

Nível funcional do domínio Recursos habilitados Sistemas operacionais do controlador de domínio suportados

Windows 2000 nativo

Todos os recursos padrão do Active Directory, além destes:

  • Grupos universais para grupos de distribuição e grupos de segurança

  • Aninhamento de grupo

  • Conversão de grupo, que torna a conversão possível entre grupos de segurança e grupos de distribuição

  • Histórico de SID (identificador de segurança)

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows 2000 nativo, além destes:

  • A ferramenta de gerenciamento de domínio Netdom.exe está disponível para preparar para renomear o controlador de domínio.

  • Atualização de carimbo de data/hora de logon. O atributo lastLogonTimestamp será atualizado com a hora do último logon do usuário ou computador. Este atributo é replicado no domínio. Observe que este atributo pode não ser atualizado se um controlador de domínio somente leitura (RODC) autenticar a conta.

  • O atributo userPassword pode ser definido como a senha efetiva nos objetos inetOrgPerson e nos objetos de usuário.

  • Contêineres de Usuários e Computadores podem ser redirecionados. Por padrão, dois contêineres conhecidos são fornecidos para hospedar contas de computador e usuário/grupo: cn=Computadores,<raiz do domínio> e cn=Usuários,<raiz do domínio>. Como esse recurso, é possível definir um novo local conhecido para essas contas.

  • O Gerenciador de Autorização pode armazenar as diretivas de autorização no AD DS.

  • A delegação restrita, que torna possível que aplicativos façam uso da delegação segura de credenciais de usuário por meio do protocolo de autenticação Kerberos. Você pode configurar a delegação para que tenha permissão somente para determinados serviços de destino.

  • Suporte para autenticação seletiva, o que torna possível especificar os usuários e grupos de uma floresta confiável com permissão para autenticar a servidores de recursos em uma floresta confiável.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Todos os recursos padrão do Active Directory, todos os recursos dos níveis funcionais de domínio do Windows 2000 nativo e Windows Server 2003, além destes:

  • Suporte à Replicação DFS (Sistema de Arquivos Distribuído) para SYSVOL, o que fornece replicação mais robusta e detalhada dos conteúdos SYSVOL. Talvez seja necessário executar etapas adicionais para usar a Replicação DFS para SYSVOL. Para obter mais informações, consulte Serviços de Arquivos (https://go.microsoft.com/fwlink/?LinkId=93167 [a página pode estar em inglês]).

  • Suporte dos Serviços Avançados de Criptografia (AES 128 e 256) para o protocolo Kerberos.

  • Últimas Informações de Logon Interativo, que mostram o horário do último logon interativo bem-sucedido de um usuário, a estação de trabalho que o originou e as falhas nas tentativas de logon desde o último logon.

  • Diretivas de senha bem ajustadas, que torna possível que as diretivas de bloqueio de senha e conta sejam especificadas para grupos de segurança globais e de usuários em um domínio.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Todos os recursos padrão do Active Directory, todos os recursos dos níveis funcionais do Windows 2000 nativo, Windows Server 2003 e Windows Server 2008, mais o seguinte recurso:

  • Garantia do Mecanismo de Autenticação, que empacota as informações sobre o tipo de método de logon (cartão inteligente ou nome/senha de usuário) utilizado para autenticar os usuários de domínio em cada token Kerberos do usuário. Quando esse recurso está habilitado em um ambiente de rede, que tenha implantado uma infraestrutura de gerenciamento de identidade federada, como os Serviços de Federação do Active Directory (AD FS), as informações do token podem ser extraídas sempre que um usuário tentar acessar qualquer aplicativo de reconhecimento de declaração que tenha sido desenvolvido para determinar a autorização com base no método de logon de um usuário.

Windows Server 2008 R2

Recursos habilitados nos níveis funcionais de floresta

A tabela a seguir listas os recursos habilitados e os sistemas operacionais do controlador de domínio suportados para cada nível funcional de floresta.

Nível funcional de floresta

Recursos habilitados

Sistemas operacionais do controlador de domínio com suporte

Windows 2000

Todos os recursos padrão do Active Directory

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Todos os recursos padrão do Active Directory, além destes:

  • Relação de confiança da floresta

  • Renomeação de domínio

  • Replicação de valor vinculado (altera a associação de grupo para armazenar e replicar valores de membros individuais em vez de replicar a associação inteira como uma única unidade). Essa alteração resulta em uso mais baixo de largura de banda e de processador durante a replicação e elimina a possibilidade de atualizações perdidas quando membros diferentes são adicionados ou removidos ao mesmo tempo em controladores de domínio diferentes.

  • A capacidade de implantar um RODC

  • Algoritmos e escalabilidade aprimoradas do KCC (Knowledge Consistency Checker). O gerador de topologia entre sites (ISTG) usa algoritmos aprimorados que são dimensionados para oferecer suporte a florestas com maior número de sites que podem ser suportados no nível funcional de floresta do Windows 2000.

  • A capacidade de criar instâncias da classe auxiliar dinâmica chamada dynamicObject em uma partição do diretório de domínio.

  • A capacidade de converter uma instância do objeto inetOrgPerson em uma instância do objeto Usuário, e vice-versa.

  • A capacidade de criar instâncias dos novos tipos de grupos, chamados grupos básicos de aplicativos e grupos de consulta do protocolo LDAP para dar suporte à autorização baseada em função.

  • Desativação e redefinição de atributos e classes no esquema

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Todos os recursos disponíveis estão no nível funcional de floresta Windows Server 2003, mas não há nenhum recurso adicional. Entretanto, todos os domínios que forem adicionados subsequentemente à floresta funcionarão no nível funcional de floresta de domínio Windows Server 2008 por padrão.

Se você planeja incluir somente controladores de domínio que executem o Windows Server 2008 ou Windows Server 2008 R2 na floresta inteira, deve escolher este nível funcional de floresta para conveniência administrativa.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Todos os recursos disponíveis estão no nível funcional de floresta Windows Server 2003, mais o seguinte recurso:

  • Lixeira, que permite restaurar os objetos excluídos em sua totalidade, enquanto o AD DS é executado.

Todos os domínios que forem adicionados posteriormente à floresta funcionarão, por padrão, no nível funcional do domínio Windows Server 2008 R2.

Se você planeja incluir somente controladores de domínio que executem o Windows Server 2008 R2 na floresta inteira, deve escolher este nível funcional de floresta para conveniência administrativa. Se o fizer, você nunca terá que elevar o nível funcional de cada domínio que criar na floresta.

Windows Server 2008 R2

Sumário