Exporter (0) Imprimer
Développer tout

Présentation des niveaux fonctionnels de domaine et de forêt

Mis à jour: mars 2012

S'applique à: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012

Niveaux fonctionnels de domaines et de forêt

Les niveaux de domaine et de forêt permettent d’activer des fonctionnalités à l’échelle d’un domaine ou d’une forêt dans l’environnement de vos services de domaine Active Directory (AD DS). Différents niveaux de fonctionnalités des domaines et des forêts sont disponibles, selon votre environnement.

Si tous les contrôleurs de domaine de votre domaine ou forêt exécutent la dernière version de Windows Server et si le niveau fonctionnel du domaine et de la forêt est défini sur la valeur la plus élevée, toutes les fonctionnalités à l’échelle du domaine et de la forêt sont alors disponibles. Lorsque votre domaine ou forêt englobe des contrôleurs de domaine exécutant des versions antérieures de Windows Server, les fonctionnalités AD DS sont alors limitées. Pour plus d’informations sur l’activation des fonctionnalités à l’échelle du domaine ou de la forêt, voir Augmenter le niveau fonctionnel du domaine et Augmenter le niveau fonctionnel de la forêt.

Niveaux fonctionnels de domaine

La fonctionnalité de domaine active celles qui doivent affecter l’intégralité du domaine et uniquement celui-ci. Le tableau suivant répertorie les niveaux fonctionnels de domaine et les contrôleurs de domaine pris en charge correspondants :

 

Niveau fonctionnel de domaine Systèmes d’exploitation de contrôleur de domaine pris en charge

Windows Server 2003

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Le tableau ci-après décrit les fonctionnalités à l’échelle du domaine qui sont activées pour les niveaux fonctionnels de domaine.

 

Niveau fonctionnel de domaine Fonctionnalités activées

Windows 2000 natif

Toutes les fonctionnalités Active Directory par défaut plus les fonctionnalités suivantes :

  • activation des groupes universels pour les groupes de distribution et les groupes de sécurité ;

  • imbrication de groupes ;

  • activation de la conversion de groupes, ce qui autorise la conversion entre les groupes de sécurité et les groupes de distribution ;

  • historique SID.

Windows Server 2003

Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel du domaine Windows 2000 natif, plus les fonctionnalités suivantes :

  • disponibilité de l’outil de gestion de domaines, Netdom.exe, en vue de la préparation du changement de nom des contrôleurs de domaine.

  • mise à jour de l’horodateur d’ouverture de session (L’attribut lastLogonTimestamp est mis à jour avec l’heure de la dernière ouverture de session de l’utilisateur ou ordinateur. Cet attribut est répliqué au sein du domaine.) ;

  • possibilité de définir l’attribut userPassword comme mot de passe efficace sur l’objet inetOrgPerson et les objets utilisateur ;

  • possibilité de rediriger les conteneurs Utilisateurs et ordinateurs (Par défaut, deux conteneurs connus sont fournis pour héberger les comptes d’ordinateurs et d’utilisateurs/groupes : cn=Computers,<racine_domaine> et cn=Users,<racine_domaine>. Cette fonctionnalité permet de définir un nouvel emplacement connu pour ces comptes.) ;

  • possibilité pour le Gestionnaire d’autorisations de stocker ses stratégies d’autorisation dans les services de domaine Active Directory (AD DS) ;

  • délégation contrainte, ce qui permet aux applications de tirer parti de la délégation sécurisée des informations d’identification de l’utilisateur au moyen du protocole d’authentification Kerberos (Vous pouvez configurer la délégation de sorte qu’elle ne soit autorisée qu’à des services de destination spécifiques.) ;

  • prise en charge de l’authentification sélective, ce qui permet de spécifier les utilisateurs et groupes d’une forêt approuvée autorisés à s’authentifier auprès des serveurs de ressources d’une forêt d’approbation.

Windows Server 2008

Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel du domaine Windows Server 2003, plus les fonctionnalités suivantes :

  • prise en charge de la réplication du système de fichiers DFS (Distributed File System) pour SYSVOL, ce qui offre une réplication plus fiable et granulaire du contenu de SYSVOL ;

  • prise en charge d’AES (Advanced Encryption Services) 128 et 256 pour le protocole d’authentification Kerberos ;

  • informations sur la dernière ouverture de session interactive, qui affichent l’heure de la dernière ouverture de session interactive réussie d’un utilisateur, le nom de la station de travail et le nombre de tentatives d’ouverture de session ayant échoué depuis la dernière ouverture de session ;

  • stratégies de mot de passe affinées, ce qui permet de spécifier les stratégies de mot de passe et de verrouillage de compte pour les utilisateurs et les groupes de sécurité globaux d’un domaine.

Windows Server 2008 R2

Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine Windows Server 2008, plus les fonctionnalités suivantes :

  • L’assurance du mécanisme d’authentification stocke des informations sur le type de méthode d’ouverture de session (carte à puce ou nom d’utilisateur/mot de passe) utilisé pour authentifier les utilisateurs d’un domaine à l’intérieur du jeton Kerberos de chaque utilisateur. Lorsque cette fonctionnalité est activée dans un environnement réseau qui a déployé une infrastructure de gestion des identités fédérées, telle que les services AD FS (Active Directory Federation Services), les informations contenues dans le jeton peuvent être extraites à chaque fois qu’un utilisateur tente d’accéder à une application prenant en charge les revendications qui a été développée de façon à déterminer l’autorisation en fonction de la méthode d’ouverture de session d’un utilisateur.

Niveaux fonctionnels de forêt

Les niveaux fonctionnels de forêt activent les fonctionnalités sur tous les domaines de votre forêt. Le tableau suivant répertorie les niveaux fonctionnels de forêt et les contrôleurs de domaine pris en charge correspondants :

 

Niveau fonctionnel de forêt Systèmes d’exploitation de contrôleur de domaine pris en charge

Windows Server 2003

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2 (par défaut)

Windows Server 2008 R2

Le tableau ci-après décrit les fonctionnalités activées à l’échelle de la forêt pour les niveaux fonctionnels de forêt.

 

Niveau fonctionnel de forêt Fonctionnalités activées

Windows Server 2003

Toutes les fonctionnalités Active Directory par défaut plus les fonctionnalités suivantes :

  • approbation de forêt ;

  • changement de nom de domaine ;

  • réplication de valeurs liées (Les modifications d’appartenance de groupe stockent et répliquent des valeurs pour chaque membre au lieu de répliquer l’ensemble de l’appartenance comme une seule unité. Cela permet d’utiliser moins le processeur et la bande passante réseau pendant la réplication et élimine la possibilité de perdre des mises à jour lorsque des membres différents sont ajoutés ou supprimés simultanément de différents contrôleurs de domaine.) ;

  • possibilité de déployer un contrôleur de domaine en lecture seule (RODC) exécutant Windows Server 2008 ;

  • extensibilité et algorithmes du vérificateur de cohérence des données améliorés (Le générateur de topologie intersite (ISTG) utilise des algorithmes améliorés qui s’adaptent pour prendre en charge des forêts avec un nombre supérieur de sites qui ne peuvent être prises en charge par le niveau fonctionnel de forêt Windows 2000.) ;

  • possibilité de créer des instances de la classe auxiliaire dynamique appelée dynamicObject dans une partition d’annuaire de domaine ;

  • possibilité de convertir une instance d’objet inetOrgPerson en instance d’objet User, et inversement ;

  • possibilité de créer des instances des nouveaux types de groupes, appelés groupes de base d’applications et groupes de requêtes LDAP (Lightweight Directory Access Protocol), pour prendre en charge l’autorisation basée sur les rôles ;

  • désactivation et redéfinition des attributs et classes du schéma.

Windows Server 2008

Ce niveau fonctionnel offre toutes les fonctionnalités disponibles au niveau fonctionnel de forêt Windows Server 2003, mais pas de fonctionnalités supplémentaires. Toutefois, tous les domaines qui sont ultérieurement ajoutés à la forêt opèrent au niveau fonctionnel de domaine Windows Server 2008 par défaut.

Windows Server 2008 R2

Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2003, plus les fonctionnalités suivantes :

  • La corbeille Active Directory offre la possibilité de restaurer des objets supprimés dans leur intégralité pendant que les services de domaine Active Directory sont en cours d’exécution.

Tous les domaines ajoutés ultérieurement à la forêt doivent fonctionner par défaut au niveau fonctionnel de domaine Windows Server 2008 R2.

Si vous prévoyez de n’inclure que des contrôleurs de domaine exécutant Windows Server 2008 R2 dans toute la forêt, vous pouvez choisir ce niveau fonctionnel de forêt pour simplifier l’administration. De cette façon, il n’est alors jamais nécessaire d’augmenter le niveau fonctionnel des domaines que vous créez dans la forêt.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft