(0) exportieren Drucken
Alle erweitern

Grundlegendes zur Domänen- und Gesamtstrukturfunktionsebenen

Letzte Aktualisierung: März 2012

Betrifft: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012

Domänen- und Gesamtstrukturfunktionsebenen

Mithilfe der Domänen- und Gesamtstrukturfunktionsebenen können domänen- oder gesamtstrukturweite Features in der Active Directory-Domänendienstumgebung aktiviert werden. Je nach Netzwerkumgebung sind verschiedene Ebenen der Domänen- und Gesamtstrukturfunktionalität verfügbar.

Wenn alle Domänencontroller in der Domäne oder Gesamtstruktur unter der aktuellen Version von Windows Server ausgeführt werden und die Domänen- und Gesamtstrukturfunktionsebene auf den höchsten Wert festgelegt ist, sind alle Features auf Domänenebene und alle Features auf Gesamtstrukturebene verfügbar. Wenn die Domäne oder Gesamtstruktur Domänencontroller mit früheren Versionen von Windows Server enthält, sind die AD DS-Features beschränkt. Weitere Informationen zum Aktivieren von Features auf Domänenebene oder Features auf Gesamtstrukturebene finden Sie unter Heraufstufen der Domänenfunktionsebene und Heraufstufen der Gesamtstrukturfunktionsebene.

Domänenfunktionsebenen

Mit der Domänenfunktionalität werden Features aktiviert, die die gesamte Domäne, jedoch nur diese eine Domäne, betreffen. In der folgenden Tabelle werden die Domänenfunktionsebenen und die entsprechenden unterstützten Domänencontroller aufgelistet:

 

Domänenfunktionsebene Unterstützte Domänencontroller-Betriebssysteme

Windows Server 2003

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

In der folgenden Tabelle werden die domänenweiten Features beschrieben, die für die Domänenfunktionsebenen aktiviert sind:

 

Domänenfunktionsebene Aktivierte Features

Windows 2000 einheitlich

Alle Active Directory-Standardfeatures und die folgenden Features:

  • Universelle Gruppen sind sowohl für Verteilergruppen als auch für Sicherheitsgruppen aktiviert.

  • Gruppenverschachtelung

  • Die Gruppenkonvertierung ist aktiviert, wodurch die Konvertierung zwischen Sicherheitsgruppen und Verteilergruppen ermöglicht wird.

  • Sicherheits-ID-Verlauf (Security Identifier, SID)

Windows Server 2003

Alle Active Directory-Standardfeatures, alle Features der Domänenfunktionsebene von Windows 2000 einheitlich sowie die folgenden Features:

  • Verfügbarkeit des Domänenverwaltungstools „Netdom.exe“ zur Vorbereitung der Domänencontrollerumbenennung

  • Aktualisierung des Zeitstempels für die Anmeldung. Das lastLogonTimestamp-Attribut wird mit dem Zeitpunkt der letzten Anmeldung des Benutzers oder des Computers aktualisiert. Dieses Attribut wird innerhalb der Domäne repliziert.

  • Möglichkeit zum Festlegen des userPassword-Attributs als effektives Kennwort für das inetOrgPerson-Objekt und für Benutzerobjekte

  • Möglichkeit zum Umleiten von Benutzer- und Computercontainern. Standardmäßig werden für Computer und Benutzer-/Gruppenkonten zwei bekannte Container bereitgestellt: „cn=Computers,<Domänenstamm>“ und „cn=Users,<Domänenstamm>“. Mit diesem Feature kann für diese Konten ein neuer, bekannter Speicherort definiert werden.

  • Mit dem Autorisierungs-Manager können die Autorisierungsrichtlinien in AD DS gespeichert werden.

  • Die eingeschränkte Delegierung ermöglicht die Nutzung der sicheren Delegierung von Benutzeranmeldeinformationen mithilfe des Kerberos-Authentifizierungsprotokolls. Sie können die Delegierung so konfigurieren, dass sie nur für bestimmte Zieldienste zulässig ist.

  • Die ausgewählte Authentifizierung wird unterstützt, wodurch die Benutzer und Gruppen einer vertrauenswürdigen Gesamtstruktur angegeben werden können, die sich für Ressourcenserver in einer vertrauenden Gesamtstruktur authentifizieren dürfen.

Windows Server 2008

Alle Active Directory-Standardfeatures, alle Features der Domänenfunktionsebene Windows Server 2003 sowie die folgenden Features:

  • Replikationsunterstützung für SYSVOL durch das verteilte Dateisystem, das eine stabilere und genauer abgestimmte Replikation von SYSVOL-Inhalten ermöglicht

  • Unterstützung des Kerberos-Authentifizierungsprotokolls durch die erweiterten Verschlüsselungsdienste (Advanced Encryption Services) (AES 128 und 256)

  • Informationen zur letzten interaktiven Anmeldung, mit denen der Zeitpunkt der letzten erfolgreichen interaktiven Anmeldung eines Benutzers, die Arbeitsstation und die Anzahl der nicht erfolgreichen Anmeldeversuche seit der letzten Anmeldung angezeigt werden.

  • Abgestimmte Kennwortrichtlinien, die die Angabe von Kennwort- und Kontosperrungsrichtlinien für Benutzer und globale Sicherheitsgruppen in einer Domäne ermöglichen

Windows Server 2008 R2

Alle Active Directory-Standardfeatures, alle Features der Domänenfunktionsebene Windows Server 2008 sowie die folgenden Features:

  • Authentifizierungsmechanismussicherung, bei der Informationen zum Typ der Anmeldemethode (Smartcard oder Benutzername/Kennwort), die zum Authentifizieren von Domänenbenutzern dient, in das Kerberos-Token der einzelnen Benutzer eingefügt werden. Wenn dieses Feature in einer Netzwerkumgebung aktiviert ist, mit der eine Verbundinfrastruktur für die Identitätsverwaltung (z. B. Active Directory-Verbunddienste) bereitgestellt wurde, können die Informationen im Token extrahiert werden, wenn ein Benutzer versucht, auf eine Ansprüche unterstützende Anwendung zuzugreifen, die entwickelt wurde, um die Autorisierung auf der Grundlage der Anmeldemethode eines Benutzers zu bestimmen.

Gesamtstrukturfunktionsebenen

Mit den Gesamtstrukturfunktionsebenen werden Features für alle Domänen in der Gesamtstruktur aktiviert. In der folgenden Tabelle werden die Gesamtstrukturfunktionsebenen und die entsprechenden unterstützten Domänencontroller aufgelistet:

 

Gesamtstrukturfunktionsebene Unterstützte Domänencontroller-Betriebssysteme

Windows Server 2003

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2 (Standard)

Windows Server 2008 R2

In der folgenden Tabelle werden die Features auf Gesamtstrukturebene beschrieben, die für die Gesamtstrukturfunktionsebenen aktiviert sind:

 

Gesamtstrukturfunktionsebene Aktivierte Features

Windows Server 2003

Alle Active Directory-Standardfeatures und die folgenden Features:

  • Gesamtstruktur-Vertrauensstellung

  • Domänenumbenennung

  • Verknüpfte Wertreplikation (Änderungen in Bezug auf die Werte zum Speichern und Replizieren der Gruppenmitgliedschaft für einzelne Mitglieder, anstelle der Replikation der gesamten Mitgliedschaft als eine einzelne Einheit): Dies führt zu einer geringeren Netzwerkbandbreiten- und Prozessorauslastung während der Replikation und verhindert den möglichen Verlust von Updates, wenn verschiedenen Domänencontrollern gleichzeitig verschiedene Mitglieder hinzugefügt bzw. wenn diese entfernt werden.

  • Möglichkeit zum Bereitstellen eines unter Windows Server 2008 ausgeführten schreibgeschützten Domänencontrollers (Read-Only Domain Controller, RODC).

  • Verbesserte Algorithmen und Skalierbarkeit der Konsistenzprüfung (Knowledge Consistency Checker, KCC). Der Generator für standortübergreifende Topologie (Intersite Topology Generator, ISTG) verwendet verbesserte Algorithmen, die skalieren, um Gesamtstrukturen mit einer größeren Anzahl von Standorten zu unterstützen, als es auf der Gesamtstrukturfunktionsebene Windows 2000 möglich ist.

  • Möglichkeit zum Erstellen von Instanzen der dynamischen Erweiterungsklasse mit dem Namen dynamicObject in einer Domänenverzeichnispartition

  • Möglichkeit zum Konvertieren einer Instanz des inetOrgPerson-Objekts in eine Instanz des Benutzerobjekts (und umgekehrt).

  • Möglichkeit zum Erstellen von Instanzen der neuen Gruppentypen (so genannte anwendungsbasierte Gruppen und LDAP-Abfragegruppen), um rollenbasierte Autorisierung zu unterstützen.

  • Deaktivierung und Neudefinition von Attributen und Klassen im Schema.

Windows Server 2008

Diese Funktionsebene bietet alle Features, die auf der Gesamtstrukturfunktionsebene Windows Server 2003 verfügbar sind, jedoch keine zusätzlichen Features. Alle Domänen, die anschließend der Gesamtstruktur hinzugefügt werden, werden jedoch standardmäßig auf der Domänenfunktionsebene Windows Server 2008 ausgeführt.

Windows Server 2008 R2

Alle Features, die auf der Gesamtstrukturfunktionsebene Windows Server 2003 verfügbar sind, plus die folgenden Features:

  • Active Directory-Papierkorb, der die Möglichkeit bietet, gelöschte Objekte in ihrer Gesamtheit wiederherzustellen, während AD DS ausgeführt wird.

Alle Domänen, die anschließend der Gesamtstruktur hinzugefügt werden, werden standardmäßig auf der Domänenfunktionsebene Windows Server 2008 R2 ausgeführt.

Wenn Sie beabsichtigen, in der Gesamtstruktur nur Domänencontroller unter Windows Server 2008 R2 zu verwenden, können Sie diese Gesamtstrukturfunktionsebene zur Vereinfachung der Verwaltung auswählen. Wenn Sie dies tun, müssen Sie die Domänenfunktionsebenen für die einzelnen Domänen, die Sie in der Gesamtstruktur erstellen, nie erhöhen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft