设置域或林功能级别

功能级别确定了在域或林中启用的 Active Directory 域服务 (AD DS) 的功能。它们还将限制哪些 Windows Server 操作系统可以在域或林中的域控制器上运行。但是，功能级别不会影响哪些操作系统可以在联接到域或林的工作站和成员服务器上运行。

创建新域或新林时，请将域和林功能级别设置为您知道环境可以支持的最高值。这样一来，您就可以尽可能充分利用许多 AD DS 功能。例如，如果您肯定不会将运行 Windows Server 2008（或任何更早版本的操作系统）的域控制器添加到域或林，请选择 Windows Server 2008 R2 功能级别。另一方面，如果您可能会保留或添加运行 Windows Server 2008 或更早版本的域控制器，请在安装期间选择 Windows Server 2008 功能级别。如果您确定不会添加这类域控制器或这类域控制器仍在使用，则安装后可以提升功能级别。

安装新的林时，系统会提示您设置林功能级别，然后设置域功能级别。您不能将域功能级别设置为低于林功能级别的值。例如，如果将林功能级别设置为 Windows Server 2008 R2，则只能将域功能级别设置为 Windows Server 2008 R2。Windows 2000、Windows Server 2003 和 Windows Server 2008 域功能级别值在“设置域功能级别”向导页中不可用。此外，默认情况下随后向该林添加的所有域都将具备 Windows Server 2008 R2 域功能级别。

将域功能级别设置为某个特定值后，将无法回滚或降低域功能级别，但以下情况例外：将域功能级别提升至 Windows Server 2008 R2，并且林功能级别为 Windows Server 2008 或更低时，您可以选择将域功能级别回滚到 Windows Server 2008。只能将域功能级别从 Windows Server 2008 R2 降到 Windows Server 2008。例如，如果将域功能级别设置为 Windows Server 2008 R2，则无法将其回滚到 Windows Server 2003。

将林功能级别设置为某个值之后，就不能回滚或降低林功能级别，但有一种情况例外：当您将林功能级别提升到 Windows Server 2008 R2 且没有启用 Active Directory 回收站时，则可以选择将林功能级别回滚到 Windows Server 2008。只能将林功能级别从 Windows Server 2008 R2 降到 Windows Server 2008。例如，如果将林功能级别设置为 Windows Server 2008 R2，则无法将其回滚到 Windows Server 2003。

以下各部分说明了在不同域和林功能级别启用的功能集。

在域功能级别启用的功能

下表列出了为每个域功能级别启用的功能和支持的域控制器操作系统。

域功能级别	启用的功能	支持的域控制器操作系统
Windows 2000 本机模式	所有默认的 Active Directory 功能及以下功能：与分发组和安全组对应的通用组组嵌套组转换，可在安全组与分发组之间进行转换安全标识符 (SID) 历史记录	Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003	所有默认的 Active Directory 功能、所有来自 Windows 2000 本机模式域功能级别的功能，以及以下功能：域管理工具 Netdom.exe 可用于为域控制器重命名作准备。登录时间戳更新。将使用用户或计算机的上次登录时间来更新 lastLogonTimestamp 属性。可以在域内复制该属性。请注意，如果只读域控制器 (RODC) 对帐户进行身份验证，则可能不会更新该属性。可以将 userPassword 属性设置为 inetOrgPerson 对象和用户对象上的有效密码。可以重定向用户和计算机容器。默认情况下，提供两个已知容器以容纳计算机和用户/组帐户：cn=Computers,<domain root> 和 cn=Users,<domain root>。借助此功能，可以为这些帐户定义新的已知位置。授权管理器可以将其授权策略存储在 AD DS 中。受限制的委派，使得应用程序可通过 Kerberos 身份验证协议充分利用用户凭据的安全委派。可以将委派配置为仅允许特定的目标服务。选择性身份验证支持，这可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	所有默认的 Active Directory 功能、所有来自 Windows 2000 纯模式和 Windows Server 2003 域功能级别的功能，以及以下功能： SYSVOL 的分布式文件系统 (DFS) 复制支持，可提供 SYSVOL 内容的更稳健更详细的复制。您可能需要执行其他步骤来使用 SYSVOL 的 DFS 复制。有关详细信息，请参阅“文件服务”(https://go.microsoft.com/fwlink/?LinkId=93167)（可能为英文网页）。 Kerberos 协议的高级加密服务（AES 128 和 256）支持。上次交互式登录信息，将显示用户上次成功交互式登录的时间、来自什么工作站，以及自上次登录失败的登录尝试次数。严格的密码策略，这可以为域中的用户和全局安全组指定密码和帐户锁定策略。	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	所有默认的 Active Directory 功能、所有来自 Windows 2000 纯模式、Windows Server 2003 和 Windows Server 2008 功能级别的功能，以及以下功能：身份验证机制保证，将用于对域用户进行身份验证的登录方法（智能卡或用户名/密码）类型信息封装在每个用户的 Kerberos 令牌中。如果在已部署联合身份管理基础结构（如 Active Directory 联合身份验证服务 (AD FS)）的网络环境中启用此功能，则每当用户尝试访问已部署为根据用户登录方法确定是否授权的声明感知应用程序时，都会提取令牌中的信息。	Windows Server 2008 R2

在林功能级别启用的功能

下表列出了为每个林功能级别启用的功能和支持的域控制器操作系统。

林功能级别	启用的功能	支持的域控制器操作系统
Windows 2000	所有默认的 Active Directory 功能	Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003	所有默认的 Active Directory 功能及以下功能：林信任域重命名链接值复制（组成员身份中的更改为各个成员存储并复制值，而不是作为单个单位复制整个成员身份）。在复制期间此更改会导致较低的网络带宽和处理器使用率，且在不同域控制器中同时添加或删除不同成员时会消除丢失更新的可能性。部署 RODC 的功能改进的知识一致性检查器 (KCC) 的算法和可伸缩性。站点间拓扑生成器 (ISTG) 使用改进的算法，可缩放以支持具有远远大于在 Windows 2000 林功能级别上所支持站点的数量的林。在域目录分区中创建动态辅助类（称为 dynamicObject）的实例的功能将 inetOrgPerson 对象实例转换为用户对象实例的功能，及反向转换功能创建新组（称为应用程序基本组和轻型目录访问协议 (LDAP) 查询组）类型的实例以支持基于角色的身份验证的功能在架构中停用并重新定义属性和类别	Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	Windows Server 2003 林功能级别上可用的所有功能，但不包括任何其他功能。但在默认情况下，随后添加到林的所有域，将在 Windows Server 2008 域功能级别进行操作。如果计划仅包括在整个林中运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器，则为便于进行管理可以选择此林功能级别。	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	Windows Server 2003 林功能级别上可用的所有功能及以下功能：在 AD DS 运行时提供还原整个已删除对象功能的回收站。在默认情况下，随后添加到林的所有域都将以 Windows Server 2008 R2 域功能级别运行。如果计划仅包括在整个林中运行 Windows Server 2008 R2 的域控制器，则为便于进行管理可以选择此林功能级别。如果这样做，您将永远不必为在林中创建的每个域提升域功能级别。	Windows Server 2008 R2

设置域或林功能级别

在域功能级别启用的功能

在林功能级别启用的功能

目录