功能等級可以決定網域或樹系中啟用的 Active Directory 網域服務 (AD DS) 功能。功能等級也會限制哪些 Windows Server 作業系統能夠在網域或樹系中的網域控制站上執行。不過,功能等級不會影響哪些作業系統能夠在已加入網域或樹系的工作站或成員伺服器上執行。

當您建立新網域或新樹系時,請將網域及樹系功能等級設為您環境所能支援的最高值。這樣您就可以儘可能利用到最多的 AD DS 功能。例如,如果您確定不會將執行 Windows Server 2008 的網域控制站新增至網域或樹系,請選取 Windows Server 2008 R2 功能等級。另一方面,如果您可能保留或新增執行 Windows Server 2008 或更舊版本的網域控制站,則請在進行安裝時選取 Windows Server 2008 功能等級。當您確定不會新增這類網域控制站或已無這類網域控制站仍在使用中,可以在安裝完成後提升功能等級。

當您安裝新樹系時,會提示您設定樹系功能等級,然後再設定網域功能等級。您無法將網域功能等級設定為低於樹系功能等級的值。例如,如果您將樹系功能等級設定為 Windows Server 2008 R2,那麼您只能將網域功能等級設定為 Windows Server 2008 R2。[設定網域功能等級] 精靈頁面上不提供 Windows 2000、Windows Server 2003 及 Windows Server 2008 網域功能等級值。此外,日後您新增至該樹系的所有網域都會預設為 Windows Server 2008 R2 網域功能等級。

當您將網域功能等級設定為某個值之後,便無法回復或降低網域功能等級,但有一個例外:如果將網域功能等級提升至 Windows Server 2008 R2,而且樹系功能等級為 Windows Windows Server 2008 或較低等級,則您可以選擇將網域功能等級回復成 Windows Server 2008。您只能將網域功能等級從 Windows Server 2008 R2 降低至 Windows Server 2008。例如,如果網域功能等級設定為 Windows Server 2008 R2,便無法回復至 Windows Server 2003。

當您將樹系功能等級設定為某個值之後,便無法回復或降低樹系功能等級,但有一個例外:當您將樹系功能等級提高至 Windows Server 2008 R2,且如果未啟用 Active?Directory 資源回收筒,則可選擇將樹系功能等級回復至 Windows Server 2008。您只能將樹系功能等級從 Windows Server 2008 R2 降低至 Windows Server 2008。例如,如果樹系功能等級設定為 Windows Server 2008 R2,便無法回復至 Windows Server 2003。

下列各節將解說不同的網域及樹系功能等級所啟用的功能組。

網域功能等級所啟用的功能

下表列出各個網域功能等級啟用的功能以及可支援的網域控制站作業系統。

網域功能等級 啟用的功能 支援的網域控制站作業系統

Windows 2000 原生

所有預設的 Active Directory 功能,以及下列功能:

  • 可供發佈群組和安全性群組使用的萬用群組

  • 群組巢狀

  • 群組轉換,可以進行安全性群組及發佈群組之間的轉換

  • 安全性識別碼 (SID) 歷程記錄

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

所有預設的 Active Directory 功能、Windows 2000 原生網域功能等級的所有功能,以及下列功能:

  • 可以使用 Netdom.exe 網域管理工具來準備重新命名網域控制站。

  • 登入時間戳記更新。會以使用者或電腦上次登入的時間來更新 lastLogonTimestamp 屬性。而且會將此屬性複寫至整個網域。請注意,如果唯讀網域控制站 (RODC) 驗證帳戶,可能就不會更新此屬性。

  • 可以將 userPassword 屬性設為 inetOrgPerson 物件和使用者物件的有效密碼。

  • 可以將 [使用者和電腦] 容器重新導向。根據預設,會為儲存電腦和使用者/群組帳戶提供兩個已知的容器:cn=Computers,<網域根目錄> 以及 cn=Users,<網域根目錄>。您可以利用這個功能為這些帳戶定義新的已知位置。

  • 授權管理員可以將授權原則儲存在 AD DS 中。

  • 限制委派,讓應用程式透過 Kerberos 驗證通訊協定,善加利用使用者認證的安全委派優點。您可以設定只有特定的目的地服務才允許委派。

  • 支援選擇性驗證,可利用此方式,從信任樹系中指定允許對此信任樹系中的資源伺服器進行驗證的使用者和群組。

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

所有預設的 Active Directory 功能、來自 Windows 2000 原生及 Windows Server 2003 網域功能等級的所有功能,以及下列功能:

  • SYSVOL 的分散式檔案系統 (DFS) 複寫支援,可提供最健全詳盡的 SYSVOL 內容複寫能力。您可能需要執行其他步驟,才能使用 SYSVOL 的 DFS 複寫功能。如需相關資訊,請參閱<檔案服務>(https://go.microsoft.com/fwlink/?LinkId=93167 (可能為英文網頁))。

  • 支援 Kerberos 通訊協定的進階加密服務 (AES 128 與 256)。

  • 最後互動式登入資訊,其中顯示使用者最後成功互動式登入的時間、從哪個工作站以及最後登入前的失敗嘗試登入次數。

  • 更細緻的密碼原則,可指定網域中使用者與通用安全性群組的密碼及帳戶鎖定原則。

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

所有預設的 Active Directory 功能、來自 Windows 2000 原生、Windows Server 2003 及 Windows Server 2008 功能等級的所有功能,以及下列功能:

  • 驗證機制保證,它會封裝與登入方法類型 (智慧卡或使用者名稱/密碼) 有關的資訊,這些資訊用來驗證每個使用者 Kerberos 權杖內的網域使用者。在已部署同盟識別管理基礎結構 (例如 Active?Directory Federation Services (AD?FS)) 的網路環境中啟用此功能後,就可以在使用者嘗試存取任何用於根據使用者的登入方式判斷授權所開發的宣告感知應用程式時,擷取權杖中的資訊。

Windows Server 2008 R2

樹系功能等級所啟用的功能

下表列出各個樹系功能等級啟用的功能以及可支援的網域控制站作業系統。

樹系功能等級

啟用的功能

支援的網域控制站作業系統

Windows 2000

所有預設的 Active Directory 功能

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

所有預設的 Active Directory 功能,以及下列功能:

  • 樹系信任

  • 網域重新命名

  • 連結數值複寫 (對群組成員資格所做的變更,將針對個別成員之值進行儲存及複寫,而不是將整個成員資格當成一個單位來進行複寫)。這種變更方式在進行複寫時所需的網路頻寬和處理器使用量較少,而且可以排除在不同網域控制站同時新增或移除不同成員時遺失更新的可能性。

  • 部署 RODC 的能力

  • 加強的知識一致性檢查程式 (KCC) 演算法與延展性。站台間拓撲產生器 (ISTG) 使用改進的演算法擴大對樹系的支援,它可支援的站台數量遠超過 Windows 2000 樹系功能等級所能夠支援的數量。

  • 在網域目錄分割中建立名為 dynamicObject 的動態輔助類別執行個體的能力。

  • 將 inetOrgPerson 物件執行個體轉換為 User 物件執行個體的能力,也可以反向轉換

  • 建立新群組類型的執行個體 (稱為應用程式基本群組及輕量型目錄存取協定 (LDAP) 查詢群組),以支援以角色為基礎之授權的能力。

  • 停用和重新定義架構中的屬性及類別

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

可以在 Windows Server 2003 樹系功能等級使用的所有功能,不含其他功能。但是,後續新增到樹系的所有網域預設會以 Windows Server 2008 網域功能等級運作。

如果您計劃讓整個樹系中只包括執行 Windows Server 2008 或 Windows Server 2008 R2 的網域控制站,則可選擇此樹系功能等級,以便進行系統管理。

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

可以在 Windows Server 2003 樹系功能等級使用的所有功能,以及下列功能:

  • 資源回收筒,能夠在執行 AD  DS 時完整還原被刪除的物件。

根據預設值,後續新增到樹系的所有網域都會以 Windows Server 2008 R2 網域功能等級運作。

如果您計劃讓整個樹系中只包括執行 Windows Server 2008 R2 的網域控制站,則可選擇此樹系功能等級,以便進行系統管理。如果這樣做,將永遠不需要對樹系中建立的每個網域提升網域功能等級。

Windows Server 2008 R2


目錄