Funktionalitetsnivåerna avgör vilka funktioner i Active Directory Domain Services (AD DS) som aktiveras i en domän eller skog. Nivåerna begränsar också vilka Windows Server-operativsystem som kan köras på domänkontrollanter i domänen eller skogen. Funktionalitetsnivåerna påverkar dock inte vilka operativsystem som kan köras på arbetsstationer och medlemsservrar som är anslutna till domänen eller skogen.

När du skapar en ny domän eller en ny skog bör du ange de högsta funktionalitetsnivåer som du vet att det finns stöd för i miljön. På så sätt kan du dra nytta av så många AD DS-funktioner som möjligt. Om du t.ex. är säker på att inga domänkontrollanter med Windows Server 2008 (eller tidigare versioner av operativsystemet) någonsin kommer att läggas till i domänen eller skogen anger du funktionsnivån Windows Server 2008 R2. Om det är möjligt att du behåller eller lägger till domänkontrollanter med Windows Server 2008 eller tidigare versioner väljer du funktionsnivån Windows Server 2008 under installationen. Du kan funktionalitetsnivån efter installationen om du är säker på att inga sådana domänkontrollanter kommer att läggas till (eller fortfarande används).

När du installerar en ny skog uppmanas du först att ange funktionalitetsnivån för skogen och därefter för domänen. Det går inte att ange en lägre funktionalitetsnivå för domänen än den nivå som har angetts för skogen. Om du t.ex. anger funktionsnivån Windows Server 2008 R2 för skogen kan du bara ange funktionsnivån Windows Server 2008 R2 för domänen. Funktionsnivåerna Windows 2000, Windows Server 2003 och Windows Server 2008 för domäner är inte tillgängliga på guidesidan Ställ in domänfunktionsnivån. Alla domäner som du senare lägger till i skogen får som standard funktionsnivån Windows Server 2008 R2.

När du anger domänfunktionsnivån till ett särskilt värde kan du inte återställa eller sänka domänfunktionsnivån. Det finns dock ett undantag: när du höjer domänfunktionsnivån till Windows Server 2008 R2 och skogens funktionsnivå är Windows Windows Server 2008 eller lägre kan du återställa domänfunktionsnivån till Windows Server 2008. Det går bara att sänka domänfunktionsnivån från Windows Server 2008 R2 till Windows Server 2008. Om domänfunktionsnivån är inställd på Windows Server 2008 R2 kan den inte återställas till t.ex. Windows Server 2003.

När du anger skogens funktionsnivå till ett särskilt värde kan du inte återställa eller sänka skogens funktionsnivå. Det finns dock ett undantag: när du höjer skogens funktionsnivå till Windows Server 2008 R2 och papperskorgen i Active Directory inte är aktiverad kan du återställa skogens funktionsnivå till Windows Server 2008. Det går bara att sänka skogens funktionsnivå från Windows Server 2008 R2 till Windows Server 2008. Om skogens funktionsnivå är inställd på Windows Server 2008 R2 kan den inte återställas till t.ex. Windows Server 2003.

I följande avsnitt beskrivs vilka uppsättningar med funktioner som aktiveras vid de olika funktionalitetsnivåerna för domäner och skogar.

Funktioner som aktiveras vid domänfunktionalitetsnivåer

I tabellen nedan visas vilka funktioner som aktiveras och vilka operativsystem för domänkontrollanter som stöds för varje domänfunktionalitetsnivå.

Funktionalitetsnivå för domän Funktioner som aktiveras Operativsystem som stöds för domänkontrollanter

Windows 2000 enhetligt

Alla standardfunktioner i Active Directory plus följande funktioner:

  • Universella grupper för såväl distributionsgrupper som säkerhetsgrupper

  • Gruppkapsling

  • Gruppkonvertering, som möjliggör konvertering mellan säkerhetsgrupper och distributionsgrupper

  • SID-historik

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Alla standardfunktioner i Active Directory, alla funktioner från domänfunktionalitetsnivån Windows 2000 enhetligt, plus följande funktioner:

  • Domänhanteringsverktyget Netdom.exe är tillgängligt för att förbereda namnbyte på domänkontrollanten.

  • Uppdatering av tidsstämpeln för inloggning. Attributet lastLogonTimestamp uppdateras med den senaste inloggningstiden för användaren eller datorn. Det här attributet replikeras inom domänen. Observera att attributet kanske inte uppdateras om kontot autentiseras av en skrivskyddad domänkontrollant (RODC).

  • Attributet userPassword kan anges som det gällande lösenordet för inetOrgPerson-objekt och användarobjekt.

  • Behållare för användare och datorer kan omdirigeras. Som standard tillhandahålls två välkända behållare för dator- och användar/gruppkonton: cn=Datorer,<domänrot> och cn=Användare,<domänrot>. Med den här funktionen kan du definiera en ny bekant plats för sådana konton.

  • Auktoriseringshanterarens auktoriseringsprinciper kan lagras i AD DS.

  • Begränsad delegering, som innebär att ett program kan utnyttja säker delegering av användarautentiseringsuppgifter med hjälp av autentiseringsprotokollet Kerberos. Du kan konfigurera inställningar så att delegering endast tillåts för angivna måltjänster.

  • Stöd för selektiv autentisering som gör att användare och grupper från en betrodd skog kan tillåtas att autentiseras på resursservrar i en betrodd skog.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Alla standardfunktioner i Active Directory, alla funktioner från funktionsnivån ursprungliga Windows 2000 och Windows Server 2003-domäner samt följande funktioner:

  • Funktioner för DFS-replikering (Distributed File System) för SYSVOL, vilket ger mer robust och detaljerad replikering av SYSVOL-innehåll. Du kan behöva utföra ytterligare åtgärder om du vill använda DFS-replikering för SYSVOL. Mer information finns under Filtjänster (https://go.microsoft.com/fwlink/?LinkId=93167). Sidan kan vara på engelska.

  • Funktioner för avancerad kryptering (AES 128 och 256) för Kerberos-protokollet.

  • Information om den senaste interaktiva inloggningen vilket innebär att tidpunkten för den senaste interaktiva inloggningen för en användare visas, samt vilken arbetsstation inloggningen gjordes från. Dessutom visas antalet misslyckade inloggningsförsök sedan den senaste inloggningen.

  • Detaljerade lösenordsprinciper, som gör det möjligt att ange principer för lösenord och kontoutelåsning för användare och globala säkerhetsgrupper i en domän.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Alla standardfunktioner i Active Directory, alla funktioner från ursprungliga Windows 2000, Windows Server 2003 och funktionsnivån Windows Server 2008 samt följande funktioner:

  • Autentiseringsmekanismskontroll innehåller information om typen av inloggningsmetod (smartkort eller användarnamn/lösenord) som används för att autentisera domänanvändare i varje användares Kerberos-token. När funktionen är aktiverad i en nätverksmiljö som distribuerar en management-infrastruktur med federerade identiteter, t.ex. AD FS (Active Directory Federation Services) kan informationen i token extraheras när användare försöker komma åt ett anspråksmedvetet program som har utvecklats för att avgöra autentisering baserat på en användares inloggningsmetod.

Windows Server 2008 R2

Funktioner som aktiveras vid skogsfunktionalitetsnivåer

I tabellen nedan visas vilka funktioner som aktiveras och vilka operativsystem för domänkontrollanter som stöds för varje skogsfunktionalitetsnivå.

Funktionalitetsnivå för skog

Funktioner som aktiveras

Operativsystem som stöds för domänkontrollanter

Windows 2000

Alla standardfunktioner i Active Directory

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Alla standardfunktioner i Active Directory plus följande funktioner:

  • Skogsförtroende

  • Namnbyte för domän

  • Replikering genom länkade värden (ändringar sker i gruppmedlemskap för lagring och replikering av värden för enskilda medlemmar i stället för att hela medlemskapet replikeras som en enda enhet). Den här förändringen innebär att mindre nätverksbandbredd och processorkraft används vid replikering och risken för förlorade uppdateringar elimineras när olika medlemmar läggs till eller tas bort samtidigt på olika domänkontrollanter.

  • Möjligheten att distribuera en RODC

  • Förbättrade algoritmer och bättre skalbarhet för Knowledge Consistency Checker (KCC). Skaparen av topologi mellan platser (ISTG) använder förbättrade algoritmer som skalas för att stödja skogar med ett större antal platser än vad det finns stöd för i funktionalitetsnivån Windows 2000.

  • Möjligheten att skapa instanser av den dynamiska tilläggsklassen dynamicObject i en domänkatalogspartition

  • Möjligheten att konvertera en inetOrgPerson-objektinstans till en användarobjektinstans, och omvänt

  • Möjligheten att skapa instanser av de nya grupptyperna som kallas enkla programgrupper och LDAP-frågegrupper (Lightweight Directory Access Protocol) för att stödja rollbaserad auktorisering

  • Inaktivering och omdefinition av attribut och klasser i schemat

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Alla funktioner som är tillgängliga för skogens funktionsnivå för Windows Server 2003 men inga ytterligare funktioner. Alla domäner som senare läggs till i skogen fungerar dock som standard med domänfunktionalitetsnivån Windows Server 2008.

Om du planerar att endast använda domänkontrollanter med Windows Server 2008 eller Windows Server 2008 R2 i hela skogen kan du välja den här funktionsnivån för skogen för att underlätta administrationen.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Alla funktioner som är tillgängliga för skogens funktionsnivå för Windows Server 2003 samt följande funktioner.

  • Papperskorgen, som ger dig möjligheten att återställa borttagna objekt i sin helhet samtidigt som AD DS körs.

Alla domäner som senare läggs till i skogen fungerar som standard med domänfunktionsnivån Windows Server 2008 R2.

Om du planerar att endast använda domänkontrollanter med Windows Server 2008 R2 i hela skogen kan du välja den här skogsfunktionsnivån för att underlätta administrationen. Om du gör detta behöver du aldrig höja domänfunktionalitetsnivån för varje domän du skapar i skogen.

Windows Server 2008 R2


Innehåll