İşlev düzeyleri, bir etki alanında veya ormandaki etkinleştirilmiş olan Active Directory Etki Alanı Hizmetleri (AD DS) özelliklerini belirler. Aynı zamanda etki alanındaki veya ormandaki etki alanı denetleyicilerinde çalışabilecek Windows Server işletim sistemlerini kısıtlar. Ancak işlev düzeyleri, etki alanına veya ormana katılmış iş istasyonlarında ve üye sunucularda hangi işletim sistemlerinin çalışabileceğini etkilemez.

Yeni bir etki alanı veya orman oluşturduğunuzda, etki alanı ve orman işlev düzeylerini ormanınızda desteklenebilen en yüksek değerlere ayarlayın. Böylece, olabildiğince fazla AD DS özelliğinden yararlanabilirsiniz. Örneğin, Windows Server 2008 (veya önceki bir işletim sistemi) çalıştıran bir etki alanı denetleyicisinin etki alanına veya ormana hiçbir zaman eklenmeyeceğinden eminseniz, Windows Server 2008 R2 işlev düzeyini seçin. Diğer taraftan, Windows Server 2008 veya önceki bir işletim sistemi çalıştıran etki alanı denetleyicilerini korumanız veya eklemeniz olasılığı varsa, yükleme sırasında Windows Server 2008 işlev düzeyini seçin. İşlev düzeyini yükleme sonrasında, başka bir etki alanı denetleyicisi eklenmeyeceğinden veya kullanılmaya devam etmeyeceğinden emin olduğunuzda yükseltebilirsiniz.

Yeni bir orman yüklediğinizde, ormanın işlev düzeyini ve sonra da etki alanının işlev düzeyini ayarlamanız istenir. Etki alanı işlev düzeyini orman işlev düzeyinden daha düşük bir değere ayarlayamazsınız. Örneğin, ormanın işlev düzeyini Windows Server 2008 R2 olarak ayarlarsanız, etki alanının işlev düzeyini yalnızca Windows Server 2008 R2 olarak ayarlayabilirsiniz. Windows 2000, Windows Server 2003 ve Windows Server 2008 etki alanı işlev düzeyi değerleri Etki alanı işlev düzeyini ayarla sihirbaz sayfasında kullanılamaz. Ayrıca, ormana sonradan eklediğiniz tüm etki alanlarına varsayılan olarak Windows Server 2008 R2 etki alanı işlev düzeyi atanır.

Etki alanı işlev düzeyini belirli bir değere ayarlandıktan sonra, etki alanı işlev düzeyi geri çekilemez veya düşürülemez. Bunun tek istisnası şudur: Etki alanı işlev düzeyini Windows Server 2008 R2 düzeyine yükselttiğinizde orman işlev düzeyi Windows Windows Server 2008 veya daha düşük bir düzeydeyse, etki alanı işlev düzeyini yeniden Windows Server 2008 düzeyine geri çekme seçeneğiniz olur. Etki alanı işlev düzeyini yalnızca Windows Server 2008 R2 düzeyinden Windows Server 2008 düzeyine düşürebilirsiniz. Etki alanı işlev düzeyi Windows Server 2008 R2 olarak ayarlanmışsa, örneğin, Windows Server 2003 düzeyine geri çekilemez.

Orman işlev düzeyi belirli bir değere ayarlandıktan sonra, geri çekilemez veya azaltılamaz. Bunun tek istisnası şudur: Orman işlev düzeyini Windows Server 2008 R2 düzeyine yükselttiğinizde Active Directory Geri Dönüşüm Kutusu etkinleştirilmemişse, orman işlev düzeyini yeniden Windows Server 2008 düzeyine geri çekme seçeneğiniz olur. Orman işlev düzeyini yalnızca Windows Server 2008 R2 düzeyinden Windows Server 2008 düzeyine düşürebilirsiniz. Orman işlev düzeyi Windows Server 2008 R2 olarak ayarlanmışsa, örneğin, Windows Server 2003 düzeyine geri çekilemez.

Aşağıdaki bölümlerde, farklı etki alanı ve orman işlev düzeylerinde etkinleştirilmiş olan özellik kümeleri açıklanmaktadır.

Etki alanı işlev düzeylerinde etkinleştirilmiş olan özellikler

Aşağıdaki tabloda her bir etki alanı işlev düzeyi için etkinleştirilmiş özellikler ve desteklenen etki alanı denetleyicisi işletim sistemleri listelenmektedir.

Etki alanı işlev düzeyi Etkinleştirilmiş özellikler Desteklenen etki alanı denetleyicisi işletim sistemleri

Windows 2000 özgün

Tüm varsayılan Active Directory özelliklerine ek olarak aşağıdaki özellikler:

  • Dağıtım grupları ve güvenlik grupları için evrensel gruplar

  • Grupları iç içe geçirme

  • Güvenlik grupları ve dağıtım grupları arasında dönüştürmeye olanak veren grup dönüştürme özelliği

  • Güvenlik tanımlayıcısı (SID) geçmişi

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Tüm varsayılan Active Directory özellikleri, Windows 2000 özgün etki alanı işlev düzeyinin tüm özellikleri ve aşağıdaki özellikler:

  • Etki alanı yönetim aracı olan Netdom.exe, etki alanı denetleyicisini yeniden adlandırma işlemine hazırlamak için kullanılabilir.

  • Oturum açma zaman damgası güncelleştirmesi. lastLogonTimestamp özniteliği kullanıcının veya bilgisayarın son oturum açma zamanıyla güncelleştirilir. Bu öznitelik etki alanı içinde çoğaltılır. Hesabın kimlik doğrulaması bir salt okunur etki alanı denetleyicisi (RODC) tarafından gerçekleştirilirse bu özniteliğin güncelleştirilmeyebileceğini unutmayın.

  • userPassword özniteliği inetOrgPerson nesnelerinde ve kullanıcı nesnelerinde etkin parola olarak ayarlanabilir.

  • Kullanıcılar ve Bilgisayarlar kapsayıcıları yeniden yönlendirilebilir. Varsayılan olarak, bilgisayar ve kullanıcı/grup hesaplarını barındırmak için iyi bilinen iki kapsayıcı sağlanır: cn=Computers,<etki alanı kökü> ve cn=Users,<etki alanı kökü>. Bu özellikleri kullanarak, bu hesaplar için iyi bilinen yeni bir konum tanımlayabilirsiniz.

  • Yetkilendirme Yöneticisi, yetkilendirme ilkelerini AD DS'de depolayabilir.

  • Uygulamaların kullanıcı kimlik bilgilerine Kerberos kimlik doğrulama protokolü aracılığıyla güvenli temsilci atamalarına olanak veren kısıtlı temsil özelliği. Yalnızca belirli hedef hizmetlere temsilci atanacak biçimde yapılandırabilirsiniz.

  • Güvenilen bir ormandaki kaynak sunucularında kimlik doğrulaması yapmasına izin verilen bir güvenilen ormandaki kullanıcıların ve grupların belirtilmesine olanak veren seçmeli kimlik doğrulama desteği.

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Tüm varsayılan Active Directory özellikleri, Windows 2000 yerel ve Windows Server 2003 etki alanı işlev düzeylerinin tüm özellikleri ve aşağıdaki özellikler:

  • SYSVOL için Dağıtılmış Dosya Sistemi (DFS) Çoğaltma desteği, SYSVOL içeriğinin daha güçlü ve ayrıntılı biçimde çoğaltılmasına olanak verir. SYSVOL için DFS Çoğaltma kullanmak üzere ek adımlar gerçekleştirmeniz gerekebilir. Daha fazla bilgi için, Dosya Hizmetleri bölümüne bakın (https://go.microsoft.com/fwlink/?LinkId=93167).

  • Kerberos protokolü için Gelişmiş Şifreleme Hizmetleri (AES 128 ve 256) desteği.

  • Bir kullanıcının başarılı olan son etkileşimli oturum açma saatini, bu işlemin hangi iş istasyonundan gerçekleştirildiğini ve son oturum açmanın ardından başarısız olan oturum açma girişimi sayısını görüntüleyen Son Etkileşimli Oturum Açma Bilgileri özelliği.

  • Bir etki alanındaki kullanıcılar ve genel güvenlik grupları için belirtilecek parola ve hesap kilitleme ilkelerine olanak veren iyi ayarlanmış parola ilkeleri.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Tüm varsayılan Active Directory özellikleri, Windows 2000 yerel, Windows Server 2003 ve Windows Server 2008 işlev düzeylerinin tüm özellikleri ve aşağıdaki özellik:

  • Her bir kullanıcı Kerberos belirtecinin içindeki etki alanı kullanıcılarının kimliklerini doğrulamak için kullanılan oturum açma yöntemi türü (akıllı kart veya kullanıcı adı/parola) ile ilgili bilgileri paketleyen Kimlik Doğrulama Mekanizması Güvencesi. Bu özellik, Active Directory Federasyon Hizmetleri (AD FS) gibi bir federal kimlik yönetimi altyapısının dağıtıldığı bir ağ ortamında etkinleştirildiğinde, bir kullanıcının oturum açma yöntemine dayalı kimlik doğrulamasını belirlemek üzere geliştirilen talep kullanan herhangi bir uygulamaya erişilmeye çalışıldığında, belirteçteki bilgiler ayıklanabilir.

Windows Server 2008 R2

Orman işlev düzeylerinde etkinleştirilmiş olan özellikler

Aşağıdaki tabloda her bir orman işlev düzeyi için etkinleştirilmiş özellikler ve desteklenen etki alanı denetleyicisi işletim sistemleri listelenmektedir.

Orman işlev düzeyi

Etkinleştirilmiş özellikler

Desteklenen etki alanı denetleyicisi işletim sistemleri

Windows 2000

Tüm varsayılan Active Directory özellikleri

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Tüm varsayılan Active Directory özelliklerine ek olarak aşağıdaki özellikler:

  • Orman güveni

  • Etki alanını yeniden adlandırma

  • Bağlı değer çoğaltma (tüm üyeliği tek bir birim olarak çoğaltmak yerine, bağımsız üyeler için değerleri depolayacak ve çoğaltacak biçimde grup üyeliği değişiklikleri). Bu değişiklik, çoğaltma sırasında daha az ağ bant genişliği ve işlemci kullanılmasını sağlar ve farklı etki alanı denetleyicilerine aynı anda farklı üyeler eklendiğinde veya kaldırıldığında güncelleştirmelerin kaybolması olasılığını ortadan kaldırır.

  • RODC dağıtabilme özelliği

  • Geliştirilmiş Bilgi Tutarlılığı Denetleyicisi (KCC) algoritmaları ve ölçeklenebilirliği. Siteler arası topoloji üreticisi (ISTG), Windows 2000 ormanının işlev düzeyinde daha fazla sayıda site içeren ormanları desteklemek üzere ölçeklendirilmiş gelişmiş algoritmalar kullanır.

  • Etki alanı dizin bölümünde dynamicObject adı verilen dinamik yardımcı sınıfı örneklerini oluşturabilme özelliği

  • inetOrgPerson nesnesi örneğini User nesnesi örneğine dönüştürebilme veya tersini yapabilme özelliği

  • Rol tabanlı yetkilendirmeyi desteklemek üzere, uygulama temel grupları ve Basit Dizin Erişimi Protokolü (LDAP) sorgu grupları gibi yeni grup türlerinin örneklerini oluşturabilme özelliği

  • Şemadaki öznitelikleri ve sınıfları devre dışı bırakma ve yeniden tanımlama

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003 ormanı işlev düzeyinde kullanılabilen tüm özellikler; ancak bunların dışında ek özellik sunulmamaktadır. Ancak ormana sonradan eklenen tüm etki alanları varsayılan olarak Windows Server 2008 etki alanı işlev düzeyinde çalışır.

Ormanın tamamına yalnızca Windows Server 2008 veya Windows Server 2008 R2 çalıştıran etki alanı denetleyicilerini eklemeyi planlıyorsanız, yönetim kolaylığı açısından bu orman işlev düzeyini seçebilirsiniz.

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2003 ormanının işlev düzeyinde kullanılabilen tüm özelliklere ek olarak aşağıdaki özellik:

  • AD DS çalışırken silinen nesneleri tam olarak geri yükleme olanağı sağlayan Geri Dönüşüm Kutusu.

Ormana sonradan eklenen tüm etki alanları, varsayılan olarak Windows Server 2008 R2 etki alanı işlev düzeyinde çalışır.

Ormanın tamamına yalnızca Windows Server 2008 R2 çalışan etki alanı denetleyicilerini eklemeyi planlıyorsanız, yönetim kolaylığı açısından bu orman işlev düzeyini seçebilirsiniz. Bunu yaparsanız, ormanda oluşturduğunuz etki alanları için etki alanı işlev düzeyini yükseltmeniz gerekmez.

Windows Server 2008 R2

İçindekiler