03_提升域功能级别和林功能级别.doc

提升域功能级别和林功能级别一、 概念在Windows Server 2008 R2 AD DS域服务中的域和林功能，提供了一种可以在网络境中启用全域性功能或全林性功能的方法，不同的网络环境，则有不同的域功能和林功能级别。如果域或林中的所有域控制器运行的都是Windows Server 2008 R2,并且域和林功能级别设置为Windows Server 2008 R2,则所有全域性功能和全林性功能都可用。如果域或林中有Windows Server 2000、Windows Server 2003或Windows Server 2008域控制器，则AD功能将受到限制。二、 域功能域功能启用了可影响整个域以及仅影响该域的功能。在Windows Server 2008 R2 AD DS中，有四个可用的域功能级别：Windows 2000纯模式、Windows Server 2003（默认值）、Windows Server 2008、Windows Server 2008 R2.下表列出了域功能级别及其相应支持的域控制器和该功能级别启用的功能。域功能级别支持的域控制器启用的功能Windows 2000纯模式Windows 2000Windows Server 2003Windows Server 2008Windows Server 2008 R2所有默认的 ActiveDirectory 功能及以下功能： 为分发组和安全组启用的通用组。 组嵌套。 已启用组转换，可使安全组和分发组间进行转换。 安全标识符 (SID) 历史记录。Windows Server 2003Windows Server 2003Windows Server 2008Windows Server 2008 R2所有默认的 ActiveDirectory 功能、所有来自 Windows2000 本机模式域功能级别的功能，以及以下功能： 准备要用于域控制器重命名的域管理工具 Netdom.exe 的可用性。 更新登录时间戳。使用用户或计算机的上次登录时间来更新 lastLogonTimestamp 属性。可以在域内复制该属性。 在 inetOrgPerson 对象和用户对象上将 userPassword 属性设置为有效密码的功能。 重定向用户和计算机容器的功能。默认情况下，提供两个已知容器以容纳计算机和用户/组帐户：cn=Computers, 和 cn=Users,。此功能可用于定义这些帐户新的已知位置。 授权管理器可以将其授权策略存储在 ADDS 中。 包括受限制的委派，这使应用程序可以通过 Kerberos 身份验证协议利用安全的用户凭据委派。可以将委派配置为仅允许特定的目标服务。 支持选择性的身份验证，这可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。 Windows Server 2008Windows Server 2008Windows Server 2008 R2所有默认的 ActiveDirectory 功能、所有来自 WindowsServer2003 域功能级别的功能，以及下列功能： SYSVOL 的分布式文件系统复制支持，可提供 SYSVOL 内容的更稳健更详细的复制。 Kerberos 身份验证协议的高级加密服务（AES128 和 256）支持。 上次交互式登录信息，将显示用户上次成功交互式登录的时间、来自什么工作站，以及自上次登录失败的登录尝试次数。 严格的密码策略，这可以为域中的用户和全局安全组指定密码策略和帐户锁定策略。Windows Server 2008 R2Windows Server 2008 R2所有默认的 ActiveDirectory 功能、所有来自 Windows Server2008 域功能级别的功能，以及下列功能： 身份验证机制保证，将对域用户进行身份验证所用的登录方法类型（智能卡或用户名/密码）相关信息封装在每个用户的 Kerberos 令牌中。如果在已部署联合身份管理基础结构（如 ActiveDirectory 联合身份验证服务 (ADFS)）的网络环境中启用此功能，则每当用户尝试访问已部署为根据用户登录方法确定是否授权的声明感知应用程序时，都会提取令牌中的信息。三、 林功能林功能启用了林中所有域上的功能。在Windows Server 2008 R2操作系统中有四个可用的林功能级别：Windows 2000、Windows Server 2003（默认值）、Windows Server 2008和Windows Server 2008 R2。下表列出了Windows Server 2008 R2操作系统中可用的林功能级别及相应支持的域控制器和启用的功能。域功能级别支持的域控制器启用的功能Windows 2000Windows NT(R) 4.0Windows 2000Windows Server 2003Windows Server 2008Windows Server 2008 R2支持所有默认的 Active Directory 功能。Windows Server 2003Windows Server 2003Windows Server 2008Windows Server 2008 R2所有默认的 ActiveDirectory 功能及以下功能： 林信任 域重命名 链接值复制（组成员身份中的更改为各个成员存储并复制值，而不是作为单个单位复制整个成员身份。）在不同域控制器中同时添加或删除不同成员时，这在复制和消除可能丢失的更新过程中会导致较低的网络带宽和处理器使用率。 部署运行 Windows Server2008 的只读域控制器 (RODC) 的功能。 改进的知识一致性检查器 (KCC) 的算法和可伸缩性。站点间拓扑生成器 (ISTG) 使用改进的算法，可缩放以支持具有远远大于在 Windows2000 林功能级别上所支持站点的数量的林。 在域目录分区中创建动态辅助类（称为 dynamicObject）的实例的功能。 将 inetOrgPerson 对象实例转换为用户对象实例的功能，及反向转换功能。 创建新组（称为应用程序基本组和轻型目录访问协议 (LDAP) 查询组）类型的实例以支持基于角色的授权的功能。 在架构中停用并重新定义属性和类别。 Windows Server 2008Windows Server 2008Windows Server 2008 R2 该功能级别提供 WindowsServer2003 林功能级别上可用的所有功能，但不提供任何其他功能。但在默认情况下，随后添加到林的所有域，将在 Windows Server2008 域功能级别进行操作。Windows Server 2008 R2Windows Server 2008 R2WindowsServer2003 林功能级别上可用的所有功能，以及下列功能： Active Directory 回收站，提供在运行 ADDS 时还原整个已删除对象的功能。在默认情况下，随后添加到林的所有域都将以 Windows Server 2008 R2 域功能级别运行。如果计划仅包括在整个林中运行 Windows Server 2008 R2 的域控制器，则为便于进行管理可以选择此林功能级别。如果这样做，您将永远不必为在林中创建的每个域提升域功能级别。四、 提升域功能级别1、使用域管理员帐号登录到域PDC上； 2、依次单击“开始”“管理工具”“Active Directory 域和信任关系”。3、 在控制台树中，右键单击要提升其功能级别的域，然后单击“提升域功能级别”。4、 在“选择一个可用的域功能级别”中，执行下列操作之一： 若要将域功能级别提升到 WindowsServer2008，请单击“WindowsServer2008”，然后单击“提升”。 若要将域功能级别提升到 Windows Server 2008 R2，请单击“WindowsServer2008R2”，然后单击“提升”。五、 提升林功能级别1、 使用企业管理员帐号登录到林根域的PDC上；2、 依次单击“开始”、“管理工具”和“Active Directory 域和信任关系”。3、在控制台树中，右键单击“Active Directory 域和信任关系”，然后单击“提升林功能级别”。4、 在“选择一个可用的林功能级别”中，执行下列操作之一： 若要将林功能级别提升到 WindowsServer2008，请单击 WindowsServer2008，然后单击“提升”。 若要将林功能级别提升到 Windows Server 2008 R2，请单击 WindowsServer2008R2，然后单击“提升”。六、 手动设置域功能和林功能LDAP工具（如Ldp.exe和Adsiedit.msc）可用来查看和设置当前域和林功能级别，下面我们使用的