一概念
从win NT到win2000、win2003、win2008都提供提供活动目录功能,然而不同操作系统运行的域都提供不同功能的服务,在域内由不同类型的操作系统组合而成的域,支持不同的功能、服务,这就称之为域的功能级别。同理在林中也存在林的功能这个概念
在Windwos2003的Active Directory中提供了比Windows2000 Active Directory更高的功能级别,称为windows2003临时模式和windows2003模式。只有把所有的与控制器升级到Windows2003模式,整个森林才能被提升到Windwos2003模式。森林功能级别的提升需要手动完成。
二:域功能级别
域功能激活只影响整个域和该域的功能。Windows Server 20008功能级别支持五功能级别,一下分别介绍五功能级别及其功能级别所支持的域控制器
1:Windows 2000 混合模式(默认)其网络配置使用Windows 2000和Windows NT 的任意组合系统。Windows 2000 域控制器和Windows NT 4.0 备份域控制器可以在同一个域中无缝共存而不会出现任何问题。当然Windwos 2003域控制器也支持此模式。激活的功能包括本地与全局组并支持全局编录
2:Windows 2000本机模式。域中所有域控制器都可以运行Windows2000或Windwos2003.激活的功能包括组嵌套、通用组、Sidhistory、安全组与通讯组之间的转换、
3:Windows Server 2003临时模式。允许Windows 2003域控和Windows NT 4 域控制器的混合使用。但不能与Windows2000域控制器混合使用。显见支持的域控为Windows 2003和Windows NT4.此级别内没有域范围的激活功能。该模式只在将NT4的域控升级到Windows2003域控时使用
4:Windows Server 2003模式。域中所有域控制器只能是Windows 2003和Windows2008。支持的功能包括:
Netdom.exe提供的域控制器重命名功能、
更新登录时间戳。将使用用户或计算机的上次登录时间来更新 lastLogonTimestamp 属性。可以在域内复制该属性。
在 inetOrgPerson 和用户对象上将 userPassword 属性设置为有效密码的功能。
重定向用户和计算机容器的功能。默认情况下,已提供了两个已知的容器,用于容纳计算机和用户/组帐户:即 cn=Computers,<域根> 和 cn=Users,<域根>。该功能可用于定义这些帐户新的已知位置。
授权管理器能够将其授权策略存储在 Active Directory 域服务 (AD DS) 中。
包含受限制的委派,以便使应用程序可通过 Kerberos 身份验证协议充分利用用户凭据的安全委派。可以将委派配置为仅允许特定的目标服务。
支持选择性的身份验证,通过它可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。
5:Windows Server 2008模式。目前位置所有域功能级别中最高级别,支持所有Windows 2003域功能级别,之外还支持一下功能
SYSVOL 的分布式文件系统复制支持,可提供 SYSVOL 内容的更稳健更详细的复制。
Kerberos 协议的高级加密服务(AES 128 和 256)支持。
上次交互式登录信息,将显示用户上次成功交互式登录的时间、来自什么工作站,以及自上次登录失败的登录尝试次数。
严格的密码策略,这可以为域中的用户和全局安全组指定密码和帐户锁定策略。
注:Windows Server 2008支持目前所有5种域的功能级别
三:域功能级别的评估
1:Windows 2000混合级别
对于没有完全淘汰Windows NT域控制器的企业最为合适,但我想现在NT应该以很难寻觅。
2:Windows 2000本机域级别
如果已经部署了从Windows NT到Windows 2000的AD迁移,那么这个功能级别显然最合适,而且这种模式也仅仅适合从NT域环境升级到Windows2000
3:Windows Server 2003 过度级别
为那些直接从Windows NT域控升级到Windows2003 的用户准备。但是此种模式不支持Windows 2000。
4:Windows Server 2003域级别
如果打算转换林之前将域级别提升到Windows 2003功能级别,此种模式为最好的选择。要求域中所有域控为windows 2003 或windows2008
5:Windows Server 2008域级别
目前最高级别,要求所有域控都是Windows Server 2008.
四:林的功能级别
主要分为三种
1:Windows 2000
支持所有默认的 Active Directory 功能。
2:Windows Server 2003
所有默认的 Active Directory 功能及以下功能:
林信任。
域重命名。
链接值复制(组成员身份中的更改为各个成员存储并复制值,而不是作为单个单位复制整个成员身份)。在不同域控制器中同时添加或删除不同成员时,这种更改可在复制期间占用更少的网络带宽并降低处理器使用率,同时消除丢失更新可能性。
部署运行 Windows Server 2008 的只读域控制器 (RODC) 的功能。
改进的知识一致性检查器 (KCC) 的算法和可伸缩性。站点间拓扑生成器 (ISTG) 使用改进的算法,可缩放以支持具有远远大于在 Windows 2000 林功能级别上所支持站点的数量的林。改进的 ISTG 选择算法是一种在 Windows 2000 林功能级别选择 ISTG 的入侵性较小的机制。
改进的 ISTG 算法(更好的缩放 ISTG 用于连接林中所有站点的算法)。
在域目录分区中创建动态辅助类(称为 dynamicObject)的实例的功能。
将 inetOrgPerson 对象实例转换为 User 对象实例的功能,反之亦然。
创建新组(称为应用程序基本组和轻型目录访问协议 (LDAP) 查询组)类型的实例以支持基于角色的身份验证的功能。
在架构中停用并重新定义属性和类别。
3:Windows 2008
该功能级别提供 Windows Server 2003 林功能级别上可用的所有功能,但不提供任何其他功能。但在默认情况下,随后添加到林的所有域,将在 Windows Server 2008 域功能级别进行操作。
五:提升域功能级别
大家比较熟悉的是由Windows 2000混合模式升级到Windows 2003模式,具体操作到网上自行搜索
注意,当域功能级别提升后,运行较老的域控制器将不能被加入到域中。例如,如果将域的功能级别提升到Windows 2003,则原来的Windwos 2000的域控将不能被添加到域中
注:由Windows 2003 域控升级到Windows2008域控,如果没有选择升级后的模式为Windows Server 2008 则不能叫做域功能级别,只是简单的升级域控制器,模式未变,当然也就不会增加新功能。
本文转自 abner110 51CTO博客,原文链接:http://blog.51cto.com/abner/147389,如需转载请自行联系原作者