Os níveis de funcionalidade determinam as funcionalidades dos Serviços de Domínio do Active Directory (AD DS) que estão activadas num domínio ou floresta. Também restringem os sistemas operativos Windows Server que podem ser executados em controladores de domínio no domínio ou na floresta. Contudo, os níveis de funcionalidade não afectam os sistemas operativos que podem ser executados em estações de trabalho nem servidores membro associados ao domínio ou floresta.

Ao criar um novo domínio ou uma nova floresta, defina os níveis de funcionalidade do domínio e da floresta com os valores mais altos que saiba que o ambiente consegue suportar. Dessa forma, poderá tirar partido do maior número possível de funcionalidades do AD DS. Por exemplo, se tiver a certeza de que nenhum controlador de domínio a executar o Windows Server 2008 (ou qualquer sistema operativo anterior) será alguma vez adicionado ao domínio ou floresta, seleccione o nível funcional do Windows Server 2008 R2. Por outro lado, se houver a possibilidade de reter ou adicionar controladores de domínio executáveis no Windows Server 2008 ou anterior, seleccione o nível funcional do Windows Server 2008 durante a instalação. Poderá aumentar o nível de funcionalidade depois da instalação, quando tiver certeza de que nenhum controlador de domínio desse tipo será adicionado ou ainda está em utilização.

Aquando da instalação de uma nova floresta, é-lhe pedido que defina o nível de funcionalidade da floresta e depois o nível de funcionalidade do domínio. Não é possível definir o nível de funcionalidade de domínio com um valor inferior ao nível de funcionalidade da floresta. Por exemplo, se definir o nível funcional da floresta como Windows Server 2008 R2, só poderá definir o nível funcional do domínio como Windows Server 2008 R2. Os valores de nível funcional de domínio do Windows 2000, Windows Server 2003 e Windows Server 2008 não estarão disponíveis na página do assistente Definir nível funcional do domínio. Além disso, todos os domínios que sejam posteriormente adicionados à floresta terão o nível funcional de domínio do Windows Server 2008 R2, por predefinição.

Depois de definir um determinado valor para o nível funcional de domínio, não poderá reverter nem diminuir o nível funcional de domínio, com uma excepção: quando aumenta o nível funcional de domínio para Windows Server 2008 R2, e se o nível funcional de floresta for o Windows Windows Server 2008 ou inferior, tem a opção de reverter o nível funcional de domínio para Windows Server 2008. Pode diminuir o nível funcional de domínio apenas do Windows Server 2008 R2 para o Windows Server 2008. Se o nível funcional de domínio estiver definido como Windows Server 2008 R2, não pode ser revertido, por exemplo, para o Windows Server 2003.

Depois de definir um determinado valor para o nível funcional de floresta, não poderá reverter nem diminuir o nível funcional de floresta, com uma excepção: quando aumenta o nível funcional de floresta para o Windows Server 2008 R2, e se a Reciclagem do Active Directory não estiver activada, tem a opção de reverter o nível de floresta funcional para o Windows Server 2008. Pode diminuir o nível funcional de floresta apenas do Windows Server 2008 R2 para o Windows Server 2008. Se o nível funcional de floresta estiver definido como Windows Server 2008 R2, não pode ser revertido, por exemplo, para o Windows Server 2003.

As seguintes secções explicam os conjuntos de funcionalidades que estão activadas em diferentes níveis de funcionalidade do domínio e floresta.

Funcionalidades activadas em níveis de funcionalidade de domínio

A seguinte tabela lista as funcionalidades activadas e os sistemas operativos de controlador de domínio suportados para cada nível de funcionalidade de domínio.

Nível de funcionalidade de domínio Funcionalidades activadas Sistemas operativos de controlador de domínio suportados

Windows 2000 nativo

Todas as funcionalidades predefinidas do Active Directory e as seguintes funcionalidades:

  • Grupos universais para grupos de distribuição e para grupos de segurança

  • Aninhamento de grupos

  • Conversão de grupos, o que permite a conversão entre grupos de segurança e grupos de distribuição

  • Histórico do identificador de segurança (SID).

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Todas as funcionalidades predefinidas do Active Directory, todas as funcionalidades do nível de funcionalidade de domínio do Windows 2000 nativo e as seguintes funcionalidades:

  • A ferramenta de gestão de domínios, Netdom.exe, está disponível para preparar a mudança de nome do controlador de domínio.

  • Actualização de carimbo de data/hora de início de sessão. O atributo lastLogonTimestamp será actualizado com a data/hora do último início de sessão do utilizador ou do computador. Este atributo é replicado dentro do domínio. Tenha em atenção que este atributo poderá não ser actualizado se um controlador de domínio só de leitura (RODC) autenticar a conta.

  • É possível definir o atributo userPassword como palavra-passe eficiente em objectos inetOrgPerson e objectos de utilizador.

  • É possível redireccionar contentores de Utilizadores e Computadores. Por predefinição, dois contentores bem conhecidos são fornecidos para alojar contas de utilizador/grupo ou de computador: cn=Computers,<domínio raiz> e cn=Users,<domínio raiz>. Com esta funcionalidade, é possível definir uma nova localização bem conhecida para estas contas.

  • O Gestor de Autorizações pode armazenar as respectivas políticas de autorização no AD DS.

  • Delegação restrita, o que permite que as aplicações tirem partido da delegação segura de credenciais de utilizador através do protocolo de autenticação Kerberos. É possível configurar a delegação para que seja só permitida em serviços de destino específicos.

  • Suporte para autenticação selectiva, o que permite especificar os utilizadores e grupos de uma floresta fidedigna que estão autorizados a autenticar-se perante servidores de recursos numa floresta confiante.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Todas as funcionalidades predefinidas do Active Directory, todas as funcionalidades do Windows 2000 nativo e dos níveis funcionais de domínio do Windows 2003, além das seguintes funcionalidades:

  • Suporte de Replicação de Sistema de Ficheiros Distribuído (DFS) para SYSVOL, o que fornece uma replicação mais robusta e detalhada de conteúdo SYSVOL. Poderá ser necessário seguir passos adicionais para utilizar a Replicação DFS para SYSVOL. Para mais informações, consulte a página sobre serviços de ficheiros (https://go.microsoft.com/fwlink/?LinkId=93167). (Esta página poderá estar em inglês.)

  • Suporte de Serviços de Encriptação Avançados (AES 128 e 256) para o protocolo Kerberos.

  • Informações sobre o Último Início de Sessão Interactivo, que apresentam a data/hora do último início de sessão interactivo efectuado com êxito por um utilizador, a estação de trabalho em foi efectuado e o número de tentativas de início de sessão falhadas desde o último início de sessão.

  • Políticas de palavras-passe detalhadas, que permitem especificar políticas de palavra-passe e de bloqueio de conta para utilizadores e grupos de segurança globais num domínio.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Todas as funcionalidades predefinidas do Active Directory, todas as funcionalidades do Windows 2000 nativo, do Windows Server 2003 e dos níveis funcionais do Windows Server 2008, além da seguinte funcionalidade:

  • A Garantia do Mecanismo de Autenticação, que inclui informações de pacotes sobre o tipo de método de início de sessão (smart card ou nome de utilizador/palavra-passe) utilizado para autenticar os utilizadores de domínio no token Kerberos de cada utilizador. Quando esta funcionalidade estiver activada num ambiente de rede que tenha implementado uma infra-estrutura de gestão de identidades federada, tal como os Serviços de Federação do Active Directory (AD FS), as informações do token podem ser extraídas sempre que um utilizador tentar aceder a qualquer aplicação com suporte para afirmações que tenha sido implementada para determinar a autorização baseada no método de início de sessão de um utilizador.

Windows Server 2008 R2

Funcionalidades activadas em níveis de funcionalidade de floresta

A seguinte tabela lista as funcionalidades activadas e os sistemas operativos de controlador de domínio suportados para cada nível de funcionalidade de floresta.

Nível de funcionalidade de floresta

Funcionalidades activadas

Sistemas operativos de controlador de domínio suportados

Windows 2000

Todas as funcionalidades predefinidas do Active Directory

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Todas as funcionalidades predefinidas do Active Directory e as seguintes funcionalidades:

  • Fidedignidade de floresta

  • Mudança de nome de domínio

  • Replicação de valores ligados (alterações em associações a grupos para armazenar e replicar valores para membros individuais, em vez de replicar para toda a associação como uma unidade única). Tal resulta numa utilização menor da largura de banda de rede e do processador durante a replicação e elimina a possibilidade de existirem actualizações perdidas quando membros diferentes são adicionados ou removidos em simultâneo em controladores de domínio diferentes.

  • A capacidade de implementar um RODC

  • Escalabilidade e algoritmos do Verificador de Consistência de Conhecimento (KCC) melhorados. O gerador de topologia entre locais (ISTG) utiliza algoritmos melhorados que se adaptam para suportar florestas com um maior número de locais do que aqueles que podem ser suportados no nível de funcionalidade de floresta do Windows 2000.

  • A capacidade de criar instâncias da classe auxiliar dinâmica denominada dynamicObject numa partição de directório de domínio.

  • A capacidade de converter uma instância do objecto inetOrgPerson numa instância do objecto Utilizador e vice-versa.

  • A capacidade de criar instâncias dos novos tipos de grupo, denominadas grupos básicos de aplicação e grupos de consulta LDAP (Lightweight Directory Access Protocol), para suportar autenticação baseada em funções.

  • A desactivação e a redefinição de atributos e classes no esquema.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Todas as funcionalidades que estão disponíveis no nível funcional de floresta do Windows Server 2003, mas sem funcionalidades adicionais. No entanto, todos os domínios adicionados subsequentemente à floresta funcionarão no nível de funcionalidade de domínio do Windows Server 2008 por predefinição.

Se pretender incluir apenas controladores de domínio que executam o Windows Server 2008 ou o Windows Server 2008 R2 em toda a floresta, é aconselhável escolher este nível funcional de floresta para comodidade administrativa.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Todas as funcionalidades que estão disponíveis no nível funcional de floresta do Windows Server 2003, além da seguinte funcionalidade:

  • Reciclagem, que fornece a capacidade de restaurar objectos eliminados na sua totalidade enquanto o AD DS está em execução.

Por predefinição, todos os domínios adicionados subsequentemente à floresta funcionarão no nível funcional de domínio do Windows Server 2008 R2.

Se pretender incluir apenas controladores de domínio que executam o Windows Server 2008 R2 em toda a floresta, é aconselhável escolher este nível funcional de floresta para comodidade administrativa. Se o fizer, nunca terá de aumentar o nível de funcionalidade de domínio para cada domínio que crie na floresta.

Windows Server 2008 R2

Sumário