Уровень_домена_леса_2008

Общее представление о функциональных возможностях домена и леса

Функциональные возможности домена и леса, которые доступны в доменных службах Active Directory (AD DS) Windows Server® 2008 R2, позволяют включать в сетевой среде возможности Active Directory уровня домена или леса. В зависимости от сетевой среды доступны различные режимы работы домена и леса.

Если все контроллеры домена в домене или лесу работают под управлением Windows Server 2008 R2 и задан режим работы домена и леса Windows Server 2008 R2, то доступны все возможности как уровня домена, так и уровня леса. Если домен или лес содержит контроллеры домена Windows 2000, Windows Server 2003 или Windows Server 2008, возможности Active Directory ограничены. Дополнительные сведения о включении возможностей уровня домена или леса см. в разделах Повышение режима работы домена и Повышение режима работы леса.

Функциональные возможности домена

Функциональные возможности домена включают функции, которые влияют на весь этот домен. В AD DS Windows Server 2008 R2 доступны четыре режима работы домена: основной режим Windows 2000, Windows Server 2003 (по умолчанию), Windows Server 2008 и Windows Server 2008 R2.

В следующей таблице перечислены режимы работы домена и соответствующие поддерживаемые контроллеры домена.

Основной режим Windows 2000

При повышении режима работы домена контроллеры домена, работающие под управлением более ранних операционных систем, нельзя включить в домен. Например, при повышении режима работы домена до Windows Server 2008 R2 в этот домен нельзя будет добавить контроллеры домена, работающие под управлением Windows Server 2008.

В следующей таблице описаны возможности уровня домена, которые включены для режимов работы домена AD DS Windows Server 2008 R2.

Windows 2000 (основной режим)

Все возможности Active Directory по умолчанию и следующие возможности:

универсальные группы включены как для групп рассылки, так и для групп безопасности;

Все возможности Active Directory по умолчанию, все возможности основного режима работы домена Windows 2000 и следующие возможности:

доступность средства управления доменом, Netdom.exe, для переименования контроллера домена;

Все возможности Active Directory по умолчанию, все возможности из режима работы домена Windows Server 2003 и следующие возможности:

поддержка репликации распределенной файловой системы для SYSVOL, которая обеспечивает более надежную и управляемую репликацию содержимого SYSVOL;

Все стандартные возможности Active Directory, все возможности режима работы Windows Server 2008 плюс следующие возможности:

Механизм проверки подлинности, комплектующий сведения о типе метода входа в систему (смарт-карта или имя пользователя и пароль), используемом для проверки подлинности пользователей домена в каждом токене Kerberos пользователя. Если эта возможность включена в сетевой среде, которая развернула инфраструктуру по управлению федеративной идентификацией, например службы федерации Active Directory (AD FS), данные в токене можно извлечь при каждой попытке пользователя получить доступ к поддерживающему утверждения приложению, которое было разработано для определения проверки подлинности на основе метода входа пользователя.

Функциональные возможности леса

Функциональные возможности леса включают возможности во всех доменах в лесу. В операционной системе Windows Server 2008 R2 доступны четыре режима работы леса: Windows 2000, Windows Server 2003 (по умолчанию), Windows Server 2008 и Windows Server 2008 R2.

В следующей таблице перечислены режимы работы леса, существующие в операционной системе Windows Server 2008 R2, и соответствующие поддерживаемые контроллеры домена.

Windows Server 2003 (по умолчанию)

При повышении режима работы леса контроллеры домена, работающие под управлением более ранних операционных систем, нельзя включить в лес. Например, при повышении режима работы леса до Windows Server 2008 R2 в этот лес нельзя будет добавить контроллеры домена, работающие под управлением Windows Server 2008.

В следующей таблице описаны возможности уровня леса, которые включены для режимов работы леса Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2.

Все возможности Active Directory по умолчанию и следующие возможности:

Этот режим работы предоставляет все возможности, доступные при режиме работы леса Windows Server 2003, но не дополнительные возможности. Однако все домены, в дальнейшем добавляемые к лесу, будут по умолчанию работать в режиме работы домена Windows Server 2008.

Все возможности, доступные в режиме работы леса Windows Server 2003, плюс следующие возможности:

Корзина Active Directory, позволяющая восстанавливать удаленные объекты во время выполнения AD DS.

Все домены, впоследствии добавленные в лес, по умолчанию будут работать в режиме работы домена Windows Server 2008 R2.

Если планируется использовать во всем лесу только контроллеры домена с операционной системой Windows Server 2008 R2, для удобства администрирования можно выбрать этот режим работы леса. В этом случае не понадобится повышать режим работы домена ни для каких доменов, создаваемых в лесу.

Источник

Как определить/повысить функциональный уровень домена/леса Active Directory?

Функциональный уровень домена или леса определяет функциональные возможности доступные для использования. Более высокий функциональный уровень домена или леса позволяет использовать дополнительные возможности, которые появились в свежих версиях Active Directory. При этом, даже если вы используете свежие версии контроллеров домена, но при этом вы не повышали уровень домена, то новые функциональные возможности домена AD будут недоступны.
Например, у вас установлены контроллеры домена Windows Server 2012 или Windows Server 2016, но при этом функциональный уровень домена Windows Server 2003, то такая возможность, как использование корзины Active Directory будет недоступна, так как возможность ее включить появляется только при функциональном уровне домена Windows Server 2008 R2 и выше.

Определить текущий функциональный уровень домена и леса через GUI
Чтобы определить текущий функциональный уровень домена и леса, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts и на вкладке General будет показан текущий уровень домена и леса.

Определить текущий функциональный уровень через PowerShell

Чтобы определить текущий функциональный уровень домена, используя PowerShell, необходимо запустить Windows PowerShell и выполнить команду:

Get-ADDomain | fl Name, DomainMode

Чтобы определить текущий функциональный уровень леса, используя PowerShell, необходимо запустить Windows PowerShell и выполнить команду:

Get-ADForest | fl Name, ForestMode

Результат выполнения команд показан на рисунке ниже:

Как повысить функциональный уровень домена через GUI

Перед повышением функционального уровня домена все контроллеры домена должны работать под управлением той же версии Windows Server или новее. Например, перед повышением функционального уровня домена до Windows Server 2012 R2 все контроллеры домена в домене должны работать под управлением Windows Server 2012 R2 или выше. При настройке нового домена AD, рекомендуется устанавливать функциональный уровень домена на максимально возможный уровень, при условии, что вы не планируете, использовать потом более старые версии серверов в качестве контроллеров домена. Повышение функционального уровня домена позволит получить доступ к функциям, которые являются исключительными для конкретного функционального уровня домена. Для повышения функционального уровня домена, необходимо быть членом группы Domain Admins.
Чтобы повысить функциональный уровень домена, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts. Выбрать домен, для которого требуется повысить функциональный уровень, нажать правой кнопкой мыши и выбрать Raise Domain Functional level:

В открывшемся окне выбрать желаемый функциональный уровень домена и нажать кнопку Raise

Как повысить функциональный уровень леса через GUI

Перед повышением функционального уровня леса все домены в лесу должны быть настроены на тот же функциональный уровень или на более высокий функциональны уровень домена. Для повышения функционального уровня леса, необходимо быть членом группы Enterprise Admins.
Чтобы повысить функциональный уровень домена, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts. Нажать правой кнопкой мыши на корневом пункте дерева в оснастке Active Directory Domains and Trusts и выбрать Raise Forest Functional level:

В открывшемся окне выбрать желаемый функциональный уровень леса и нажать кнопку Raise

Важно: Повышение функционального уровня работы домена и леса нельзя отменить или понизить. Исключение: Режим работы домена может быть понижен только с Windows Server 2008 R2 до Windows Server 2008, во всех остальных случаях эту операцию невозможно отменить.

Как повысить функциональный уровень домена через PowerShell

Set-ADDomainMode -identity lab.lan -DomainMode Windows2012R2Domain

• Windows Server 2000: 0 или Windows2000Domain
• Windows Server 2003 Interim Domain: 1 или Windows2003InterimDomain
• Windows Server 2003: 2 или Windows2003Domain
• Windows Server 2008: 3 или Windows2008Domain
• Windows Server 2008 R2: 4 или Windows2008R2Domain
• Windows Server 2012: 5 или Windows2012Domain
• Windows Server 2012 R2: 6 или Windows2012R2Domain
• Windows Server 2016: 7 или Windows2016Domain

Set-ADForestMode -Identity lab.lan -ForestMode Windows2012Forest

• Windows Server 2000: Windows2000Forest или 0
• Windows Server 2003: Windows2003InterimForest или 1
• Windows Server 2003: Windows2003Forest или 2
• Windows Server 2008: Windows2008Forest или 3
• Windows Server 2008 R2: Windows2008R2Forest или 4
• Windows Server 2012: Windows2012Forest или 5
• Windows Server 2012 R2: Windows2012R2Forest или 6
• Windows Server 2016: Windows2016Forest или 7

Источник