Функциональные возможности домена и леса

Функциональные возможности домена и леса, доступные в доменных службах Active Directory (AD DS) Windows Server 2008 R2, позволяют включать в сетевой среде возможности Active Directory уровня домена или леса. В зависимости от сетевой среды доступны различные режимы работы домена и леса.

Если все контроллеры домена в домене или лесу работают под управлением ОС Windows Server 2008 R2 и для домена и леса заданы режимы работы Windows Server 2008 R2, то доступны все возможности как уровня домена, так и уровня леса. Если домен или лес содержит контроллеры домена Windows 2000, Windows Server 2003 или Windows Server 2008, то возможности Active Directory ограничены. Дополнительные сведения о включении возможностей уровня домена или уровня леса см. в разделах Повышение режима работы домена и Повышение режима работы леса.

Функциональные возможности домена

Функциональные возможности домена включают функции, которые влияют на весь этот домен (и только на него). В доменных службах Active Directory Windows Server 2008 R2 доступны четыре режима работы домена: основной режим Windows 2000, Windows Server 2003 (значение по умолчанию), Windows Server 2008 и Windows Server 2008 R2.

В следующей таблице перечислены режимы работы домена и соответствующие поддерживаемые контроллеры домена.

Режим работы домена Поддерживаемые контроллеры домена

Основной режим Windows 2000

Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

При повышении режима работы домена контроллеры домена, работающие под управлением более ранних операционных систем, нельзя включить в домен. Например, при повышении режима работы домена до Windows Server 2008 R2 в этот домен нельзя будет добавить контроллеры домена, работающие под управлением ОС Windows Server 2008.

В следующей таблице описаны возможности уровня домена, которые включены для режимов работы домена доменных служб Active Directory Windows Server 2008 R2.

Режим работы домена Доступные возможности

Основной режим Windows 2000

Все возможности Active Directory по умолчанию и следующие возможности.

  • Универсальные группы включены как для групп рассылки, так и для групп безопасности.

  • Вложение групп.

  • Преобразование групп, обеспечивающее преобразование между группами безопасности и группами рассылки.

  • Журнал идентификаторов безопасности (SID).

Windows Server 2003

Все стандартные возможности Active Directory, все возможности основного режима работы Windows 2000, а также следующие.

  • Средство управления доменом, Netdom.exe, для подготовки к переименованию контроллера домена.

  • Обновление отметки времени входа. Атрибут lastLogonTimestamp обновляется с учетом времени последнего входа пользователя или компьютера. Этот атрибут реплицируется внутри домена.

  • Задание атрибута userPassword в качестве действующего пароля для объекта inetOrgPerson и объектов пользователей.

  • Перенаправление контейнеров «Пользователи» и «Компьютеры». По умолчанию для размещения учетных записей компьютеров и пользователей или групп предоставляются два известных контейнера: cn=Computers,<корень_домена> и cn=Users,<корень_домена>. Данная возможность позволяет определять для этих учетных записей новое известное расположение.

  • Диспетчер авторизации может хранить свои политики авторизации в доменных службах Active Directory.

  • Ограниченное делегирование, позволяющее приложениям использовать безопасное делегирование учетных данных пользователей с помощью протокола проверки подлинности Kerberos. Делегирование можно настроить так, чтобы оно было доступно только конкретным целевым службам.

  • Выборочная проверка подлинности, позволяющая задавать пользователей и группы из доверенного леса, которым разрешена проверка подлинности на серверах ресурсов в доверяющем лесу.

Windows Server 2008

Все возможности Active Directory по умолчанию, все возможности режима работы домена Windows Server 2003, а также следующие.

  • Поддержка репликации распределенной файловой системы (DFS) для SYSVOL, обеспечивающая более надежную и подробную репликацию содержимого SYSVOL.

  • Поддержка расширенного стандарта шифрования (AES 128 и 256) для протокола проверки подлинности Kerberos.

  • Сведения о последнем интерактивном входе в систему, показывающие время последнего успешного входа пользователя в систему, с какого компьютера был выполнен вход, а также количество неудачных попыток входа со времени последнего входа в систему.

  • Детальные политики паролей, позволяющие задавать для пользователей и глобальных групп безопасности в домене политики паролей и политики блокирования учетных записей.

Windows Server 2008 R2

Все стандартные возможности Active Directory, все возможности режима работы Windows Server 2008, а также следующие.

  • Контроль механизма проверки подлинности, упаковывающий данные о типе метода входа в систему (смарт-карта или имя пользователя и пароль), используемом при проверке подлинности пользователей домена, в токен Kerberos каждого пользователя. Если этот компонент включен в сетевой среде, в которой развернута инфраструктура управления федеративными удостоверениями, например службы федерации Active Directory (AD FS), то данные токена могут извлекаться при каждой попытке доступа пользователя к поддерживающим утверждения приложениям, которые были разработаны для определения авторизации на основе метода, применяемого пользователем для входа в систему.

Функциональные возможности леса

Функциональные возможности леса включают возможности во всех доменах в лесу. В операционной системе Windows Server 2008 R2 доступны четыре режима работы леса: Windows 2000, Windows Server 2003 (значение по умолчанию), Windows Server 2008 и Windows Server 2008 R2.

В следующей таблице перечислены режимы работы леса, доступные в операционной системе Windows Server 2008 R2, и соответствующие поддерживаемые контроллеры домена.

Режим работы леса Поддерживаемые контроллеры домена

Windows 2000 Server

Windows NT 4.0

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 (значение по умолчанию)

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2008 R2

При повышении режима работы леса контроллеры домена, работающие под управлением более ранних операционных систем, нельзя включить в лес. Например, при повышении режима работы леса до Windows Server 2008 R2 в этот лес нельзя будет добавить контроллеры домена, работающие под управлением ОС Windows Server 2008.

В следующей таблице описаны возможности уровня леса, которые включены для режимов работы леса Windows Server 2008 R2.

Режим работы леса Доступные возможности

Windows Server 2003

Все стандартные возможности Active Directory, а также следующие.

  • Доверие между лесами.

  • Переименование домена.

  • Репликация связанных значений. Изменения хранилища членства в группах и репликация значений отдельных участников вместо репликации всего членства как отдельного элемента. В результате при репликации снижается нагрузка на пропускную способность сети и процессор, а также исключается возможность потери обновлений при одновременном добавлении или удалении членов на разных контроллерах домена.

  • Развертывание контроллера домена только для чтения (RODC) с ОС Windows Server 2008.

  • Улучшенные алгоритмы и масштабируемость средства проверки согласованности знаний (KCC). Генератор межсайтовой топологии (ISTG) использует улучшенные алгоритмы, которые выполняют масштабирование для поддержки лесов с большим количеством сайтов, чем поддерживается при режиме работы леса Windows 2000.

  • Создание экземпляров динамического вспомогательного класса, называемого dynamicObject, в разделе каталога домена.

  • Преобразование экземпляра объекта inetOrgPerson в экземпляр объекта пользователя (User) и обратно.

  • Создание экземпляров новых типов групп, называемых основными группами приложений и группами запросов протокола LDAP для поддержки авторизации, основанной на ролях.

  • Отключение и переопределение атрибутов и классов схемы.

Windows Server 2008

Все возможности, доступные в режиме работы леса Windows Server 2003, без каких-либо дополнительных возможностей. Все домены, впоследствии добавленные в лес, по умолчанию будут работать в режиме работы домена Windows Server 2008.

Windows Server 2008 R2

Все возможности, доступные в режиме работы леса Windows Server 2003, а также следующие.

  • Корзина Active Directory, позволяющая полностью восстанавливать удаленные объекты (при условии, что выполняются доменные службы Active Directory).

Все домены, впоследствии добавленные в лес, по умолчанию будут работать в режиме работы домена Windows Server 2008 R2.

Если планируется использовать во всем лесу только контроллеры домена с операционной системой Windows Server 2008 R2, то для удобства администрирования можно выбрать этот режим работы леса. В этом случае не понадобится повышать режим работы ни для каких доменов, создаваемых в лесу.

Дополнительные источники информации

  • Основные сведения о доменах
  • Повышение режима работы домена