Funcionalidade de domínio e floresta

A funcionalidade de domínio e floresta, disponível nos Serviços de Domínio do Active Directory (AD DS) do Windows Server® 2008 R2 , fornece uma forma de activar funcionalidades ao nível do domínio ou funcionalidades do Active Directory ao nível da floresta no ambiente de rede. Encontram-se disponíveis diferentes níveis de funcionalidade de domínio e floresta, consoante o ambiente de rede.

Se todos os controladores de domínio no domínio ou na floresta estiverem a executar o Windows Server 2008 R2 e o nível de funcionalidade do domínio ou da floresta estiver definido para o Windows Server 2008 R2, todas as funcionalidades ao nível do domínio e da floresta estarão disponíveis. Quando o domínio ou floresta tiverem controladores de domínio do Windows® 2000, do Windows Server 2003 ou do Windows Server 2008, as funcionalidades do Active Directory estarão limitadas. Para mais informações sobre como activar funcionalidades ao nível do domínio e ao nível da floresta, consulte Aumentar o Nível de Funcionalidade do Domínio e Aumentar o Nível de Funcionalidade da Floresta.

Funcionalidade de domínio

A funcionalidade de domínio activa funcionalidades que afectam todo o domínio e apenas esse domínio. Nos AD DS do Windows Server 2008 R2, estão disponíveis quatro níveis de funcionalidade do domínio: O Windows 2000 nativo, o Windows Server 2003 (a predefinição), o Windows Server 2008 e o Windows Server 2008 R2.

A seguinte tabela lista os níveis de funcionalidade de domínio e os respectivos controladores de domínio suportados:

Nível de funcionalidade do domínio Controladores de domínio suportados

Windows 2000 nativo

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Quando aumenta o nível de funcionalidade do domínio, os controladores de domínio a executar sistemas operativos anteriores não podem ser introduzidos no domínio. Por exemplo, se aumentar o nível de funcionalidade do domínio para o Windows Server 2008 R2, não poderá adicionar controladores de domínio com o Windows Server 2008 ao domínio.

A tabela seguinte descreve as funcionalidades ao nível do domínio que são activadas para os níveis de funcionalidade de domínio dos AD DS do Windows Server 2008 R2.

Nível de funcionalidade do domínio Funcionalidades activadas

Windows 2000 nativo

Todas as funcionalidades predefinidas do Active Directory e as seguintes funcionalidades:

  • Os grupos universais estão activados para grupos de distribuição e grupos de segurança.

  • Aninhamento de grupos.

  • A conversão de grupos está activada, o que torna possível a conversão entre grupos de segurança e grupos de distribuição.

  • Histórico do identificador de segurança (SID)

Windows Server 2003

Todas as funcionalidades predefinidas do Active Directory, todas as funcionalidades do nível de funcionalidade de domínio do Windows 2000 nativo e as seguintes funcionalidades:

  • A disponibilidade da ferramenta de gestão de domínios, Netdom.exe, para preparar a mudança do nome do controlador de domínio.

  • Actualização do carimbo de data/hora de início de sessão. O atributo lastLogonTimestamp é actualizado com a data e a hora do último início de sessão do utilizador ou do computador. O atributo é replicado dentro do domínio.

  • A capacidade de definir o atributo userPassword como a palavra-passe efectiva no objecto inetOrgPerson e nos objectos do utilizador.

  • A capacidade de redireccionar contentores Utilizadores e Computadores. Por predefinição, dois contentores bem conhecidos são fornecidos para alojar contas de utilizador/grupo ou de computador: cn=Computadores,<domínio raiz> e cn=Utilizadores,<domínio raiz>. Esta funcionalidade possibilita a definição de uma localização bem conhecida para estas contas.

  • O Gestor de Autorizações pode armazenar as suas políticas de autorização em AD DS.

  • A delegação restrita encontra-se incluída e permite que as aplicações tirem partido da delegação segura de credenciais do utilizador através do protocolo de autenticação Kerberos. Pode configurar a delegação de modo que só seja permitida em serviços de destino específicos.

  • A autenticação selectiva é suportada, o que permite especificar os utilizadores e os grupos de uma floresta fidedigna que estão autorizados a efectuar a autenticação em servidores de recursos numa floresta confiante.

Windows Server 2008

Todas as funcionalidades predefinidas do Active Directory, todas as funcionalidades do nível de funcionalidade de domínio do Windows 2003 e as seguintes funcionalidades:

  • Suporte de Replicação de Sistema de Ficheiros Distribuído para SYSVOL, o que fornece uma replicação mais robusta e detalhada de conteúdos SYSVOL.

  • Suporte dos Serviços de Encriptação Avançados (AES 128 e 256) para o protocolo de autenticação Kerberos.

  • Informações sobre o Último Início de Sessão Interactivo, que apresenta a hora do último início de sessão interactivo realizado com êxito por um utilizador, a partir de que estação de trabalho foi efectuado e o número de tentativas de início de sessão falhadas desde o último início de sessão.

  • Políticas de palavras-passe detalhadas, que permitem especificar políticas de bloqueio de palavras-passe e de contas para utilizadores e grupos de segurança globais num domínio.

Windows Server 2008 R2

Todas as funcionalidades predefinidas do Active Directory, todas as funcionalidades do nível de funcionalidade do domínio do Windows Server 2008 e as seguintes funcionalidades:

  • A garantia do mecanismo de autenticação inclui informações sobre o tipo de método de início de sessão (smart card ou nome de utilizador/palavra-passe) utilizado para autenticar os utilizadores de domínio dentro de cada token Kerberos do utilizador. Quando esta funcionalidade estiver activada num ambiente de rede que tenha implementado uma infra-estrutura de gestão de identidades federadas, tal como os Serviços de Federação do Active Directory (AD FS), as informações no token podem ser extraídas sempre que um utilizador tentar aceder a qualquer aplicação com suporte para afirmações que tenha sido implementada para determinar a autorização baseada no método de início de sessão de um utilizador.

Funcionalidade de floresta

A funcionalidade de floresta activa funcionalidades em todos os domínios da floresta. Estão disponíveis quatro níveis de funcionalidade da floresta no sistema operativo Windows Server 2008 R2: O Windows 2000, o Windows Server 2003 (a predefinição), o Windows Server 2008 e o Windows Server 2008 R2.

A tabela seguinte lista os níveis de funcionalidade da floresta disponíveis no sistema operativo do Windows Server 2008 R2 e os controladores de domínio suportados correspondentes.

Nível de funcionalidade da floresta Controladores de domínio suportados

Windows 2000

Windows NT® 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (predefinição)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Quando aumenta o nível de funcionalidade da floresta, os controladores de domínio a executar sistemas operativos anteriores não podem ser introduzidos na floresta. Por exemplo, se aumentar o nível de funcionalidade da floresta para o Windows Server 2008 R2, os controladores de domínio com o Windows Server 2008 não podem ser adicionados à floresta.

A tabela seguinte descreve as funcionalidades ao nível da floresta que estão activadas para os níveis de funcionalidade da floresta do Windows Server 2008 e do Windows Server 2008 R2.

Nível de funcionalidade da floresta Funcionalidades activadas

Windows Server 2003

Todas as funcionalidades predefinidas do Active Directory e as seguintes funcionalidades:

  • Fidedignidade de floresta

  • Mudança de nome de domínio

  • Replicação de valores ligados (as alterações em associações a grupos armazenam e replicam valores para membros individuais, em vez de replicarem para toda a associação como uma unidade única). Isto resulta numa utilização menor da largura de banda de rede e do processador durante a replicação e elimina a possibilidade de existirem actualizações perdidas quando membros diferentes são adicionados e removidos em simultâneo em controladores de domínio diferentes.

  • A capacidade de implementar um controlador de domínio só de leitura (RODC) que executa o Windows Server 2008.

  • Escalabilidade e algoritmos do Verificador de Consistência de Conhecimento (KCC) melhorados. O gerador de topologia entre locais (ISTG) utiliza algoritmos melhorados que se dimensionam para suportar florestas com um maior número de sites que podem ser suportados no nível de funcionalidade de floresta do Windows 2000.

  • A capacidade de criar instâncias da classe auxiliar dinâmica denominada dynamicObject numa partição de directório de domínios.

  • A capacidade de converter uma instância do objecto inetOrgPerson numa instância do objecto Utilizador e vice-versa.

  • A capacidade de criar instâncias dos novos tipos de grupo, denominadas grupos básicos de aplicação e grupos de consulta LDAP (Lightweight Directory Access Protocol), para suportar autenticação baseada em funções.

  • A desactivação e a redefinição de atributos e classes no esquema.

Windows Server 2008

Este nível de funcionalidade fornece todas as funcionalidades disponíveis no nível de funcionalidade de floresta do Windows Server 2003, sem funcionalidades adicionais. No entanto, todos os domínios adicionados subsequentemente à floresta funcionarão no nível de funcionalidade de domínio do Windows Server 2008 por predefinição.

Windows Server 2008 R2

Todas as funcionalidades que estão disponíveis no nível de funcionalidade da floresta do Windows Server 2003 e as seguintes funcionalidades.

  • Reciclagem do Active Directory, que fornece a capacidade de restaurar na íntegra objectos eliminados enquanto o AD DS está em execução.

Por predefinição, todos os domínios adicionados subsequentemente à floresta irão funcionar no nível de funcionalidade do domínio do Windows Server 2008 R2.

Se pretender incluir apenas controladores de domínio a executar o Windows Server 2008 R2 em toda a floresta, é aconselhável escolher este nível de funcionalidade da floresta para comodidade administrativa. Se o fizer, nunca terá de aumentar o nível de funcionalidade do domínio para cada domínio que crie na floresta.

Referências adicionais


Sumário