Etki alanı ve orman işlevselliği

Windows Server 2008 R2 Active Directory Etki Alanı Hizmetleri'nde (AD DS) bulunan etki alanı ve orman işlevselliği, ağ ortamınızda etki alanı ve orman çapındaki Active Directory özelliklerini etkinleştirmek için bir yol sağlar. Ağ ortamınıza bağlı olarak farklı düzeylerde etki alanı işlevselliği ve orman işlevselliği kullanılabilir.

Etki alanınız veya ormanınızdaki tüm etki alanı denetleyicileri Windows Server 2008 R2 çalıştırıyorsa ve etki alanı ve orman işlev düzeyleri Windows Server 2008 R2 olarak ayarlanmışsa, tüm etki alanı veya orman çapındaki özellikler kullanılabilir. Etki alanı veya ormanınız Windows 2000, Windows Server 2003 veya Windows Server 2008 etki alanı denetleyicilerini içeriyorsa, Active Directory özellikleri sınırlıdır. Etki alanı veya orman çapındaki özellikleri etkinleştirme hakkında daha fazla bilgi için, bkz. Etki Alanı İşlev Düzeyini Yükseltme ve Orman İşlev Düzeyini Yükseltme.

Etki alanı işlevselliği

Etki alanı işlevselliği tüm etki alanını (ve yalnızca bu etki alanını) etkileyen özellikleri etkinleştirir. Windows Server 2008 R2 AD DS'de dört etki alanı işlev düzeyi vardır: Windows 2000 yerel, Windows Server 2003 (varsayılan), Windows Server 2008 ve Windows Server 2008 R2.

Aşağıdaki tabloda, etki alanı işlev düzeyleri ve bunlara karşılık gelen etki alanı denetleyicileri listelenmiştir.

Etki alanı işlev düzeyi Desteklenen etki alanı denetleyicileri

Windows 2000 yerel

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Etki alanı işlev düzeyini yükselttiğinizde, daha eski işletim sistemlerini çalıştıran etki alanı denetleyicileri etki alanına tanıtılamaz. Örneğin, etki alanı işlev düzeyini Windows Server 2008 R2 düzeyine yükseltirseniz, Windows Server 2008 çalıştıran etki alanı denetleyicilerini bu etki alanına ekleyemezsiniz.

Aşağıdaki tabloda Windows Server 2008 R2 AD DS etki alanı işlev düzeyleri için etkin olan etki alanı çapındaki özellikler tanımlanmıştır.

Etki alanı işlev düzeyi Etkinleştirilmiş özellikler

Windows 2000 yerel

Varsayılan tüm Active Directory özellikleri ve aşağıdaki özellikler:

  • Evrensel gruplar hem dağıtım hem de güvenlik grupları için etkinleştirilir.

  • Grupları iç içe geçirme.

  • Güvenlik grupları ve dağıtım grupları arasında dönüşümü olanaklı kılan grup dönüşümü etkindir.

  • Güvenlik tanımlayıcısı (SID) geçmişi.

Windows Server 2003

Tüm varsayılan Active Directory özellikleri, Windows 2000 yerel etki alanı işlev düzeyinin tüm özellikleri ve aşağıdaki özellikler:

  • Etki alanı denetleyicisinin adını değiştirmeye hazırlık için, Netdom.exe etki alanı yönetim aracını kullanabilme.

  • Oturum açma zaman damgasının güncelleştirilmesi. lastLogonTimestamp özniteliği kullanıcı veya bilgisayarın en son oturum saatiyle güncelleştirilir. Bu öznitelik etki alanı içinde çoğaltılır.

  • inetOrgPerson nesnesi ve kullanıcı nesnelerinde etkin parola olarak userPassword özniteliğini ayarlama kabiliyeti.

  • Kullanıcılar ve Bilgisayarlar kapsayıcılarını yeniden yönlendirebilme yeteneği. Varsayılan olarak, bilgisayar ve kullanıcı/grup hesaplarını barındırmak için iyi bilinen iki kapsayıcı sağlanır: cn=Computers,<etki alanı kökü> ve cn=Users,<etki alanı kökü>. Bu özellik, bu hesaplar için yeni ve iyi bilinen bir konum tanımlamaya olanak sağlar.

  • Yetkilendirme Yöneticisi, yetkilendirme ilkelerini AD DS'de depolayabilir.

  • Uygulamaların Kerberos kimlik doğrulama protokolü yoluyla kullanıcı kimlik bilgilerinin güvenli temsil avantajından yararlanmasına olanak sağlayan zorunlu temsilci seçme özelliği dahildir. Yalnızca belirli hedef hizmetlere temsilci atanacak biçimde yapılandırabilirsiniz.

  • Güvenilen bir ormanda güvenen ormandaki kaynak sunucularında kimlik doğrulamasına izin verilen kullanıcı ve grupları belirtmeye olanak sağlayan seçmeli kimlik doğrulama desteklenir.

Windows Server 2008

Tüm varsayılan Active Directory özellikleri, Windows Server 2003 etki alanı işlev düzeyinin tüm özellikleri ve aşağıdaki özellikler:

  • SYSVOL için Dağıtılmış Dosya Sistemi (DFS) Çoğaltma desteği, SYSVOL içeriğinin daha güçlü ve ayrıntılı biçimde çoğaltılmasına olanak verir.

  • Kerberos kimlik doğrulama protokolü için Gelişmiş Şifreleme Hizmetleri (AES 128 ve 256) desteği.

  • Bir kullanıcının başarılı olan son etkileşimli oturum açma saatini, bu işlemin hangi iş istasyonundan gerçekleştirildiğini ve son oturum açmanın ardından başarısız olan oturum açma girişimi sayısını görüntüleyen Son Etkileşimli Oturum Bilgileri özelliği.

  • Bir etki alanındaki kullanıcılar ve genel güvenlik grupları için parola ilkeleri ve hesap kilitleme ilkelerinin belirtilmesine olanak sağlayan iyi ayarlanmış parola ilkeleri (FGPP).

Windows Server 2008 R2

Varsayılan tüm Active Directory özellikleri, Windows Server 2008 etki alanı işlev düzeyindeki tüm özellikler ve aşağıdaki özellikler:

  • Her bir kullanıcının Kerberos belirteci içinde etki alanı kullanıcılarının kimliğini doğrulamak için kullanılan oturum açma yönteminin türüyle (akıllı kart veya kullanıcı adı/parola) ilgili bilgileri paketleyen kimlik doğrulama mekanizması güvencesi. Bu özellik, Active Directory Federasyon Hizmetleri (AD FS) gibi federal kimlik yönetimi altyapısı dağıtılmış bir ağ ortamında etkinleştirildiğinde, bir kullanıcı, yetki düzeyini kullanıcının oturum açma yöntemine göre belirleyecek şekilde geliştirilmiş herhangi bir talep kullanan uygulamaya erişim sağlamayı her denediğinde belirteçteki bilgiler ayıklanabilir.

Orman işlevselliği

Orman işlevselliği ormanınız içindeki tüm etki alanlarında özellikleri etkinleştirir. Windows Server 2008 R2 işletim sisteminde dört orman işlev düzeyi vardır: Windows 2000, Windows Server 2003 (varsayılan), Windows Server 2008 ve Windows Server 2008 R2.

Aşağıdaki tabloda, Windows Server 2008 R2 sisteminde kullanılabilen orman işlev düzeyleri ve bunlara karşılık gelen desteklenen etki alanı denetleyicileri listelenmektedir.

Orman işlev düzeyi Desteklenen etki alanı denetleyicileri

Windows 2000 Server

Windows NT 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (varsayılan)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

Orman işlev düzeyini yükselttiğinizde, daha eski işletim sistemlerini çalıştıran etki alanı denetleyicileri ormana tanıtılamaz. Örneğin, orman işlev düzeyini Windows Server 2008 R2 düzeyine yükseltirseniz, Windows Server 2008 çalıştıran etki alanı denetleyicileri ormana eklenemez.

Aşağıdaki tabloda Windows Server 2008 R2 ortam işlev düzeyleri için etkin olan orman çapındaki özellikler tanımlanmıştır.

Orman işlev düzeyi Etkinleştirilmiş özellikler

Windows Server 2003

Tüm varsayılan Active Directory özelliklerine ek olarak aşağıdaki özellikler:

  • Orman güveni.

  • Etki alanını yeniden adlandırma.

  • Bağlı değer çoğaltma. Grup üyeliği deposundaki değişiklikler ve tüm üyeliği tek bir birim olarak çoğaltma yerine tek tek üyeler için değerleri çoğaltma. Bu sayede çoğaltma sırasında daha düşük ağ bant genişliği ve işlemci kullanımı olur ve farklı etki alanı denetleyicilerine eşzamanlı olarak farklı üyeler eklenirken veya çıkarılırken güncelleştirme kaybı olasılığını ortadan kaldırır.

  • Windows Server 2008 çalıştıran salt okunur etki alanı denetleyicisi (RODC) dağıtma özelliği.

  • Geliştirilmiş Bilgi Tutarlılığı Denetleyicisi (KCC) algoritmaları ve ölçeklenebilirliği. Siteler arası topoloji üreticisi (ISTG), Windows 2000 orman işlev düzeyinde desteklenenden daha fazla sayıda site içeren ormanları destekleyebilen ölçekteki geliştirilmiş algoritmaları kullanır.

  • Etki alanı dizin bölümünde dynamicObject adı verilen dinamik yardımcı sınıfı örneklerini oluşturabilme yeteneği.

  • inetOrgPerson nesnesi örneğini Kullanıcı nesnesi örneğine dönüştürebilme veya dönüşümün tersini yapabilme.

  • Rol tabanlı yetkilendirmeyi desteklemek üzere, uygulama temel grupları ve Basit Dizin Erişim Protokolü (LDAP) sorgu grupları gibi yeni grup türlerinin örneklerini oluşturma becerisi.

  • Şemadaki öznitelikleri ve sınıfları devre dışı bırakmak ve yeniden tanımlama.

Windows Server 2008

Windows Server 2003 ormanının işlev düzeyinde kullanılabilen tüm özellikler; ancak bunların dışında bir özellik sunulmamaktadır. Bununla birlikte, ormana sonradan eklenen tüm etki alanları, varsayılan olarak Windows Server 2008 etki alanı işlev düzeyinde çalışır.

Windows Server 2008 R2

Windows Server 2003 ormanının işlev düzeyinde kullanılabilen tüm özelliklere ek olarak aşağıdaki özellikler:

  • AD DS çalıştığı sırada, silinmiş nesneleri bütünüyle geri yükleme kabiliyeti sağlayan Active Directory Geri Dönüşüm Kutusu.

Ormana sonradan eklenen tüm etki alanları, varsayılan olarak Windows Server 2008 R2 etki alanı işlev düzeyinde çalışır.

Orman genelinde yalnızca Windows Server 2008 R2 çalışan etki alanı denetleyicilerini eklemeyi planlıyorsanız, yönetim kolaylığı açısından bu orman işlev düzeyini seçebilirsiniz. Bunu yaparsanız, ormanda oluşturduğunuz etki alanları için etki alanı işlev düzeyini yükseltmeniz gerekmez.

Ek başvurular

İçindekiler