2. 活动目录的功能级别
Windows 服务器家族的早期版本就开始提供活动目录的功能,但是,操作系统版本不同,活动目录的功能也不同,版本越新,功能越强。也就是说,如果同一个域内的多个域控制器上安装的操作系统版本不同,那么它们提供的活动目录的功能也会不相同。
活动目录的功能级别就是为了保持在同一范围内的活动目录的功能的一致性,根据范围不同,活动目录的功能级别分为域功能级别和林功能级别。
如果城或者林中的所有域控制器运行的都是最新的Windows Server版本,并且域功能级别和林功能级别都设置为最高值,则所有全城性的功能和全林性的功能都可用。当域或者林中包含运行早期版本的WindowsServer的域控制器时,相应的功能就会受到限制。例如,一个域中有3台域控制器,其中一台运行的操作系统是Windows Server 2012另外两台运行的是Windows Server 2016
那么,这个域的域功能级别只能支持WindowsServer 2012如果3台域控制器的操作系统都是Windows Server 2016,则这个域的域功能级别就可以升级到Windows Server 2016
2.1 域功能级别
1.Windows2000纯模式
1)支持的域控制器操作系统
>Windows 2000 Server.
Windows Server 2003
Windows Server 2008 R2.
2)功能
所有默认的活动目录功能及以下功能。
为分发组和安全组启用的通用组。
组嵌套,
启用组转换,可使安全组和分发组之间进行转换。
安全标识符(SID)历史记录。
2.Windows Server 2003
1)支持的域控制器操作系统
Windows Server 2003.
Windows Server 2008 R2
Windows Server 2012 R2
2)功能
所有默认的活动目录功能,所有来自Windows 2000本机模式的功能,以及以下功能。
准备用于域控制器重命名的域管理工具Netdomexe的可用性。
更新登录时间戳。
在InetOrgPerson对象和用户对象上将UserPassword属性设置为有效密码的功能。
重定向用户和计算机容器的功能。
授权管理器可以将其授权策略存储在AD DS中。
包括受限制的委派,这使应用程序可以通过Kerberos身份验证利用安全的用户凭据委派。
支持选择性的身份验证,可以从受信任林指定允许对信任林中资源服务进行身份验证的用
3.Windows Server 2008
1)支持的域控制器操作系统
Windows Server 2008 R2.
Windows Server 2012 R2.
Windows Server 2016
2)功能
所有默认的活动目录功能、所有来自WindowsServer2003域功能级别的功能,以及下列功能。
SYSVOL的分布式文件系统复制支持,可提供更稳健更详细的复制。
Kerberos身份验证协议的高级加密服务(AES128和256)支持。
上次交互式登录信息,将显示用户上次成功交互式登录的时间,来自什么工作站,以及自
上次登录失败的登录尝试次数。
严格的密码策略,可为域中的用户和全局安全组指定密码策略和账户锁定策略。
4.Windows Server 2008 R2
1)支持的域控制器操作系统
Windows Server 2008 R2.
Windows Server 2012 R2
Windows Server 2016.
2)功能
所有默认的活动目录功能,所有来自Windows Server2008域功能级别的功能,以及下列功能。
身份验证机制保证,将对域用户进行身份验证所用的登录方法类型(智能卡或用户名/密码)相
关信息封装在每个用户的Kerberos令牌中。如果在已部署联合身份管理基础结构[如ActiveDirectory
联合身份验证服务(AD FS)1 的网络环境中启用此功能,则每当用户尝试访问已部署为根据用户登
录方法确定是否授权的声明感知应用程序时,都会提取令牌中的信息。
5.Windows Server 2012
1)支持的域控制器操作系统
Windows Server 2008 R2.
Windows Server 2012 R2.
Windows Server 2016.
2)功能
所有默认的活动目录功能,所有来自WindowsServer2008R2域功能级别的功能,以及下列功能。
AD DS 角色部署允许远程安装。
AD DS部署和配置引整是WindowsPowerShell
升级包括先决条件检查,可验证林和域对新域控制器的准备情况。
6.Windows Server 2012 R2
1)支持的域控制器操作系统
Windows Server 2008 R2.
Windows Server 2012 R2.
Windows Server 2016
2)功能
所有默认的活动目录功能,所有来自Windows Server 2008 R2域功能级别的功能,以及下列
功能。
AD DS使用服务器管理器和基于Windows PowerShell的部署系统替换Dcpromo工具,
管理中心允许执行自动生成等效WindowsPowerShell命令的图形任务。命令复制到一个脚
本中,从而简化了重复性管理操作的自动化处理。
Windows Server2012通过安全虚拟技术为云计算提供更好的支持,通过克隆技术为虚拟域
控制器提供快速部署,
7.Windows Server 2016
1)支持的域控制器操作系统
Windows Server 2008 R2.
Windows Server 2012 R2
Windows Server 2016.
2)功能
所有默认的活动目录功能,所有来自WindowsServer2012R2域功能级别的功能,以及下列功能。
访问权限管理(PAM)可以帮助减少ActiveDirectory环境引起的凭据技术被盗、仿冒类型
的攻击。其方法是使用Microsoft身份管理器(MIM)配置。
Azure Active Directory的加入,扩展到Windows10设备,提供了云端的身份和访问管理。
Microsoft Passport,也可称为“微软通行证”。该服务会使用户登录到网站及进行电子商务
交易的过程变得更加简便安全。
如图所示,当前的域功能级别是WindowsServer2016,目前已经是最高功能级别,所以无法再提升级别。
2.2林功能级别
1.Windows 2000
1)支持的域控制器操作系统
Windows 2000 Server
Windows Server 2003
Windows Server 2008 R2
2)功能
支持所有默认的活动目录功能。
2.Windows Server 2003
1)支持的域控制器操作系统
Windows Server 2003
Windows Server 2008 R2.
Windows Server 2012 R2.
2)功能
所有默认的活动目录功能及以下功能。
林信任。
域重命名。
链接值复制。
部署运行WindowsServer2008的只读域控制器(RODC)的功能。
改进的知识一致性检查器(KCC)的算法和可伸缩性。
在域目录分区中创建动态辅助类(称为DynamicObject)的实例的功能。
将InetOrgPerson 对象实例转换为用户对象实例的功能,以及反向转换功能。
创建新组(应用程序基本组和轻型目录访问协议查询组)类型的实例以支持基于角色的身
份验证的功能。
在架构中停用并重定义属性和类别。
3.Windows Server 2008
1)支持的域控制器操作系统
Windows Server 2008 R2.
Windows Server 2012 R2.
Windows Server 2016
2)功能
该功能级别提供Windows Server 2003林功能级别上可用的所有功能,但不提供任何其他功能。
但在默认情况下,随后添加到林的所有域,将在WindowsServer2008域功能级别进行操作。
4.Windows Server 2008 R2
1)支持的域控制器操作系统
Windows Server 2008 R2
Windows Server 2012 R2
Windows Server 2016
2)功能
Windows Server 2003林功能级别上可用的所有功能,以及下列功能。
Active Directorv 回收站,提供在运行AD DS时还原整个已删除对象的功能
5.Windows Server 2012
1)支持的域控制器操作系统
Windows Server 2008 R2
Windows Server 2012 R2.
Windows Server 2016.
2)功能
Windows Server 2008林功能级别上可用的所有功能。
Windows Server2012林功能级别不实现新功能。
6.Windows Server 2012 R2
1)支持的域控制器操作系统
Windows Server 2008 R2.
Windows Server 2012 R2
Windows Server 2016.
2)功能
Windows Server2008林功能级别上可用的所有功能。
7.Windows Server 2016
1)支持的域控制器操作系统
Windows Server 2008 R2.
Windows Server 2012 R2
Windows Server 2016.
2)功能
Windows Server2012 R2林功能级别上可用的所有功能。
在默认情况下,随后添加到林的所有域都将以Windows Server2016域功能级别运行。如图所示,当前的林功能级别是Windows Server 2016,目前已经是最高功能级别,所以无法再提升别。
用户可以根据域控制器的操作系统版本,提升域功能级别和林功能级别。相关的知识将在后续课程中讲解。
3 AD轻型目录服务
在企业当中,许多应用程序都使用启用目录的设计,例如,客户关系管理系统(CRM)、人力资源管理系统(HR)等,这些应用程序都使用目录来保存其数据,而不是使用数据库、平面文件或其
他数据存储结构来保存。
目录服务,如轻型目录服务(Active Directory Lightweight Directory ServiceADLDS)和关系数
据库,如 SQL Server虽然都提供数据存储和检索,但在优化方面有所不同。目录服务最适于读取处理,而关系数据库最适于事务处理。也就是说,如果应用程序读取数据比写入数据更加频繁,则考虑实施目录服务;如果应用程序写入或修改数据比读取数据更加频繁,则考虑实施关系数据库。
显然,CRM和HR等应用程序读取数据更加频繁,适合启用目录服务,针对此需求,微软开发了AD LDS,它是一个功能齐全并且易于安装部署的目录服务。
AD LDS的优势在于:它的许多功能都与AD DS相同,同样可以为启用目录的应用程序提供数
据存储和检索,但无须部署域或域控制器,没有ActiveDirectory域服务(ADDS)所需的依存关系,
借助ADLDS,微软提供了一种目录服务选择。虽然ADLDS和ADDS均基于相同的核心--微软目录服务技术进行构建,但它们有着如下一些显著的区别。
针对的需求不同:对于服务器操作系统,ADDS存储有关网络设施用户和组及网络服务等关键信息,而ADLDS专门为启用目录的应用程序提供目录服务,实现数据存储及更快速的查询和读取。
网络环境不同:ADDS依赖域和域控制器,并在整个林中必须遵循单一架构。而ADLDS不依赖域和域控制器。
并且,可以在一台计算机中同时运行多个ADLDS实例,每个ADLDS实例都有一个独立管理的架构。
虽然二者存在上述显著区别,但是,在实际应用中却可以很灵活。ADLDS和AD DS可以同时
在同一网络中运行,ADLDS也可以使用ADDS对Windows安全主体进行身份验证。另外,AD LDS
可以同时支持域用户和工作组用户,如图所示。