微軟認(rèn)證-活動目錄之域功能級別詳解新

千里之行，始于足下讓知識帶有溫度。第第2頁/共2頁精品文檔推薦微軟認(rèn)證:活動目錄之域功能級別詳解一：概念

從winNT到win2000、win2022、win2022都供應(yīng)供應(yīng)活動名目功能，然而不同操作系統(tǒng)運(yùn)行的域都供應(yīng)不同功能的服務(wù)，在域內(nèi)由不同類型的操作系統(tǒng)組合而成的域，支持不同的功能、服務(wù)，這就稱之為域的功能級別。同理在林中也存在林的功能這個概念

在Windwos2022的ActiveDirectory中供應(yīng)了比Windows2000ActiveDirectory更高的功能級別，稱為windows2022臨時模式和windows2022模式。只有把全部的與掌握器升級到Windows2022模式，整個森林才能被提升到Windwos2022模式。森林功能級別的提升需要手動完成。

二：域功能級別

域功能激活只影響整個域和該域的功能。WindowsServer20008功能級別支持五功能級別，一下分別介紹五功能級別及其功能級別所支持的域掌握器

1：Windows2000混合模式（默認(rèn)）其網(wǎng)絡(luò)配置使用Windows2000和WindowsNT的任意組合系統(tǒng)。Windows2000域掌握器和WindowsNT4.0備份域掌握器可以在同一個域中無縫共存而不會消失任何問題。當(dāng)然Windwos2022域掌握器也支持此模式。激活的功能包括本地與全局組并支持全局編錄

2：Windows2000本機(jī)模式。域中全部域掌握器都可以運(yùn)行Windows2000或Windwos2022.激活的功能包括組嵌套、通用組、Sidhistory、平安組與通訊組之間的轉(zhuǎn)換、

3：WindowsServer2022臨時模式。允許Windows2022域控和WindowsNT4域掌握器的混合使用。但不能與Windows2000域掌握器混合使用。顯見支持的域控為Windows2022和WindowsNT4.此級別內(nèi)沒有域范圍的激活功能。該模式只在將NT4的域控升級到Windows2022域控時使用

4：WindowsServer2022模式。域中全部域掌握器只能是Windows2022和Windows2022。支持的功能包括：

Netdom.exe供應(yīng)的域掌握器重命名功能、

更新登錄時間戳。將使用用戶或計(jì)算機(jī)的上次登錄時間來更新lastLogonTimestamp屬性。可以在域內(nèi)復(fù)制該屬性。

在inetOrgPerson和用戶對象上將userPassword屬性設(shè)置為有效密碼的功能。

重定向用戶和計(jì)算機(jī)容器的功能。默認(rèn)狀況下，已供應(yīng)了兩個已知的容器，用于容納計(jì)算機(jī)和用戶/組帳戶：即cn=Computers,和cn=Users,。該功能可用于定義這些帳戶新的已知位置。

授權(quán)管理器能夠?qū)⑵涫跈?quán)策略存儲在ActiveDirectory域服務(wù)(ADDS)中。

包含受限制的委派，以便使應(yīng)用程序可通過Kerberos身份驗(yàn)證協(xié)議充分利用用戶憑據(jù)的平安委派。可以將委派配置為僅允許特定的目標(biāo)服務(wù)。

支持選擇性的身份驗(yàn)證，通過它可以從受信任林指定允許對信任林中資源服務(wù)進(jìn)行身份驗(yàn)證的用戶和組。

5：WindowsServer2022模式。目前位置全部域功能級別中級別，支持全部Windows2022域功能級別，之外還支持一下功能

SYSVOL的分布式文件系統(tǒng)復(fù)制支持，可供應(yīng)SYSVOL內(nèi)容的更穩(wěn)健更具體的復(fù)制。

Kerberos協(xié)議的高級加密服務(wù)（AES128和256）支持。

上次交互式登錄信息，將顯示用戶上次勝利交互式登錄的時間、來自什么工作站，以及自上次登錄失敗的登錄嘗試次數(shù)。

嚴(yán)格的密碼策略，這可以為域中的用戶和全局平安組指定密碼和帳戶鎖定策略。

注：WindowsServer2022支持目前全部5種域的功能級別

三：域功能級別的評估

1：Windows2000混合級別

對于沒有完全淘汰WindowsNT域掌握器的企業(yè)最為合適，但我想現(xiàn)在NT應(yīng)當(dāng)以很難尋找。

2：Windows2000本機(jī)域級別

假如已經(jīng)部署了從WindowsNT到Windows2000的AD遷移，那么這個功能級別明顯最合適，而且這種模式也僅僅適合從NT域環(huán)境升級到Windows2000

3：WindowsServer2022過度級別

為那些直接從WindowsNT域控升級到Windows2022的用戶預(yù)備。但是此種模式不支持Windows2000。

4：WindowsServer2022域級別

假如準(zhǔn)備轉(zhuǎn)換林之前將域級別提升到Windows2022功能級別，此種模式為的選擇。要求域中全部域控為windows2022或windows2022

5：WindowsServer2022域級別

目前級別，要求全部域控都是WindowsServer2022.

四：林的功能級別

主要分為三種

1：Windows2000

支持全部默認(rèn)的ActiveDirectory功能。

2：WindowsServer2022

全部默認(rèn)的ActiveDirectory功能及以下功能：

林信任。

域重命名。

鏈接值復(fù)制（組成員身份中的更改為各個成員存儲并復(fù)制值，而不是作為單個單位復(fù)制整個成員身份）。在不同域掌握器中同時添加或刪除不同成員時，這種更改可在復(fù)制期間占用更少的網(wǎng)絡(luò)帶寬并降低處理器使用率，同時消退丟失更新可能性。

部署運(yùn)行WindowsServer2022的只讀域掌握器(RODC)的功能。

改進(jìn)的學(xué)問全都性檢查器(KCC)的算法和可伸縮性。站點(diǎn)間拓?fù)渖善?ISTG)使用改進(jìn)的算法，可縮放以支持具有遠(yuǎn)遠(yuǎn)大于在Windows2000林功能級別上所支持站點(diǎn)的數(shù)量的林。改進(jìn)的ISTG選擇算法是一種在Windows2000林功能級別選擇ISTG的入侵性較小的機(jī)制。

改進(jìn)的ISTG算法（更好的縮放ISTG用于連接林中全部站點(diǎn)的算法）。

在域名目分區(qū)中創(chuàng)建動態(tài)幫助類（稱為dynamicObject）的實(shí)例的功能。

將inetOrgPerson對象實(shí)例轉(zhuǎn)換為User對象實(shí)例的功能，反之亦然。

創(chuàng)建新組（稱為應(yīng)用程序基本組和輕型名目訪問協(xié)議(LDAP)查詢組）類型的實(shí)例以支持基于角色的身份驗(yàn)證的功能。

在架構(gòu)中停用并重新定義屬性和類別。

3：Windows2022

該功能級別供應(yīng)WindowsServer2022林功能級別上可用的全部功能，但不供應(yīng)任何其他功能。但在默認(rèn)狀況下，隨后添加到林的全部域，將在WindowsServer2022域功能級別進(jìn)行操作。

五：提升域功能級別

大家比較熟識的是由Windows2000混合模式升級到Windows2022模式，詳細(xì)操作到網(wǎng)上自行搜尋

留意，當(dāng)域功能級別提升后，運(yùn)行較老的域掌握器將不能被加入到域中。例如，假如將域的功能級別提升到Windows2022，則原來的Windwos2000的