03_提升域功能级别和林功能级别.doc

提升域功能级别和林功能级别 概念 在Windows Server 2008 R2 AD DS域服务中的域和林功能，提供了一种可以在网络境中启用全域性功能或全林性功能的方法，不同的网络环境，则有不同的域功能和林功能级别。 如果域或林中的所有域控制器运行的都是Windows Server 2008 R2,并且域和林功能级别设置为Windows Server 2008 R2,则所有全域性功能和全林性功能都可用。如果域或林中有Windows Server 2000、Windows Server 2003或Windows Server 2008域控制器，则AD功能将受到限制。 域功能 域功能启用了可影响整个域以及仅影响该域的功能。在Windows Server 2008 R2 AD DS中，有四个可用的域功能级别：Windows 2000纯模式、Windows Server 2003（默认值）、Windows Server 2008、Windows Server 2008 R2. 下表列出了域功能级别及其相应支持的域控制器和该功能级别启用的功能。 域功能级别 支持的域控制器 启用的功能 Windows 2000纯模式 Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 所有默认的 Active?Directory 功能及以下功能： 为分发组和安全组启用的通用组。 组嵌套。 已启用组转换，可使安全组和分发组间进行转换。 安全标识符 (SID) 历史记录。所有默认的 Active?Directory 功能、所有来自 Windows?2000 本机模式域功能级别的功能，以及以下功能： 准备要用于域控制器重命名的域管理工具 Netdom.exe 的可用性。 更新登录时间戳。使用用户或计算机的上次登录时间来更新 lastLogonTimestamp 属性。可以在域内复制该属性。 在 inetOrgPerson 对象和用户对象上将 userPassword 属性设置为有效密码的功能。 重定向用户和计算机容器的功能。默认情况下，提供两个已知容器以容纳计算机和用户/组帐户：cn=Computers,domain root 和 cn=Users,domain root。此功能可用于定义这些帐户新的已知位置。 授权管理器可以将其授权策略存储在 AD?DS 中。 包括受限制的委派，这使应用程序可以通过 Kerberos 身份验证协议利用安全的用户凭据委派。可以将委派配置为仅允许特定的目标服务。 支持选择性的身份验证，这可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。 所有默认的 Active?Directory 功能、所有来自 Windows?Server?2003 域功能级别的功能，以及下列功能： SYSVOL 的分布式文件系统复制支持，可提供 SYSVOL 内容的更稳健更详细的复制。 Kerberos 身份验证协议的高级加密服务（AES?128 和 256）支持。 上次交互式登录信息，将显示用户上次成功交互式登录的时间、来自什么工作站，以及自上次登录失败的登录尝试次数。 严格的密码策略，这可以为域中的用户和全局安全组指定密码策略和帐户锁定策略。所有默认的 Active?Directory 功能、所有来自 Windows Server?2008 域功能级别的功能，以及下列功能： 身份验证机制保证，将对域用户进行身份验证所用的登录方法类型（智能卡或用户名/密码）相关信息封装在每个用户的 Kerberos 令牌中。如果在已部署联合身份管理基础结构（如 Active?Directory 联合身份验证服务 (AD?FS)）的网络环境中启用此功能，则每当用户尝试访问已部署为根据用户登录方法确定是否授权的声明感知应用程序时，都会提取令牌中的信息。支持所有默认的 Active Directory 功能。所有默认的 Active?Directory 功能及以下功能： 林信任 域重命名 链接值复制（组成员身份中的更改为各个成员存储并复制值，而不是作为单个单位复制整个成员身份。）在不同域控制器中同时添加或删除不同成员时，这在复制和消除可能丢失的更新过程中会导致较低的网络带宽和处理器使用率。 部署运行 Windows Server?2008 的只读域控制器 (RODC) 的功能。 改进的知识一致性检查器 (KCC) 的算法和可伸缩性。站点间拓扑生成器 (ISTG) 使用改进的算法，可缩放以支持具有远远大于在 Windows?2000 林功能级别上所支持站点的数量的林。 在域目录分区中创建动态辅助类（称为 dynamicObject）的实例的功能。 将 ine