Exportar (0) Imprimir
Expandir Tudo

Noções básicas sobre níveis funcionais de domínio e floresta

Atualizado: julho de 2012

Aplica-se a: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012

Níveis funcionais de domínio e de floresta

Níveis funcionais de domínio e de floresta fornecem uma maneira de ativar os recursos de domínio ou de floresta no ambiente AD DS (Serviços de Domínio Active Directory). Há diferentes níveis de funcionalidade de domínio e de floresta disponíveis, dependendo do ambiente de rede.

Se todos os controladores de domínio no seu domínio ou floresta estiverem executando uma versão posterior do Windows Server e o nível funcional de domínio e de floresta estiver definido como o maior valor, todos os recursos de domínio e de floresta estarão disponíveis. Quando o domínio ou floresta contém controladores de domínio que executam versões anteriores de Windows Server, os recursos AD DS são limitados. Para obter mais informações sobre como habilitar os recursos de domínio ou de floresta, consulte Aumentar o nível funcional do domínio e Aumentar o nível funcional da floresta.

Níveis funcionais do domínio

A funcionalidade de domínio habilita os recursos que afetam todo o domínio e somente ele. A tabela a seguir lista os níveis funcionais de domínio e os controladores de domínio correspondentes que possuem suporte:

 

Nível funcional do domínio Sistemas operacionais do controlador de domínio suportados

Windows Server 2003

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012

A tabela a seguir descreve os recursos de domínio que são ativados para os níveis funcionais de domínio.

 

Nível funcional do domínio Recursos habilitados

Windows 2000 nativo

Todos os recursos padrão do Active Directory e os seguintes recursos:

  • Os grupos universais são habilitados para grupos de distribuição e grupos de segurança.

  • Aninhamento de grupo.

  • A conversão de grupos é habilitada, tornando possível a conversão entre grupos de segurança e grupos de distribuição.

  • Histórico de identificador de segurança (SID)

Windows Server 2003

Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows 2000 nativo, além destes:

  • A disponibilidade da ferramenta de gerenciamento de domínio, Netdom.exe, para se preparar para renomear o controlador de domínio.

  • Atualização do carimbo de data/hora de logon. O atributo lastLogonTimestamp é atualizado com o último horário de logon do usuário ou computador. Este atributo é replicado no domínio.

  • A capacidade de definir o atributo userPassword como a senha efetiva no objeto inetOrgPerson e nos objetos de usuário.

  • A capacidade de redirecionar contêineres de Usuários e Computadores. Por padrão, dois contêineres conhecidos são fornecidos para hospedar contas de computador e usuário/grupo: cn=Computers,<domain root> and cn=Users,<domain root>. Esse recurso possibilita a definição de um novo local conhecido para essas contas.

  • O Gerenciador de Autorização pode armazenar as políticas de autorização no AD DS.

  • A delegação limitada é incluída, o que possibilita aos aplicativos tirarem vantagem da delegação segura de credenciais de usuário por meio do protocolo de autenticação Kerberos. Você pode configurar a delegação para que tenha permissão somente para determinados serviços de destino.

  • A autenticação seletiva possui suporte, o que torna possível especificar os usuários e grupos de uma floresta confiável que terão permissão para autenticar servidores de recursos em uma floresta confiante.

Windows Server 2008

Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows Server 2003, além destes:

  • Suporte à Replicação do Sistema de Arquivos Distribuídos para SYSVOL, o que fornece uma replicação mais robusta e detalhada do conteúdo de SYSVOL.

  • Serviços de Criptografia Avançados (AES 128 e 256), suporte ao protocolo de autenticação Kerberos.

  • Últimas Informações de Logon Interativo, que mostram o horário do último logon interativo bem-sucedido de um usuário, a estação de trabalho que o originou e as falhas nas tentativas de logon desde o último logon.

  • Políticas de senha refinadas, que possibilitam que as políticas de senha e de bloqueio de conta sejam especificadas para usuários e grupos de segurança globais em um domínio.

Windows Server 2008 R2

Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows Server 2008, além dos seguintes recursos:

  • Garantia do mecanismo de autenticação, que agrupa informações sobre o tipo do método de logon (cartão inteligente ou nome de usuário/senha) usado para autenticar os usuários de domínio dentro do token Kerberos de cada usuário. Quando esse recurso é ativado em um ambiente de rede que implantou uma infraestrutura de gerenciamento de identidade federado, como o AD FS (Serviços de federação do Active Directory), as informações no token podem ser extraídas sempre que um usuário tentar acessar quaisquer aplicativos com reconhecimento de declarações desenvolvidos para determinar a autorização com base no método de logon de um usuário.

Windows Server 2012

Níveis funcionais de floresta

Os níveis funcionais de floresta habilitam os recursos em todos os domínios da floresta. A tabela a seguir lista os níveis funcionais de floresta e os controladores de domínio correspondentes para os quais há suporte.

 

Nível funcional de floresta Sistemas operacionais do controlador de domínio suportados

Windows Server 2003

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2 (padrão)

Windows Server 2012

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012

A tabela a seguir descreve os recursos da floresta que são habilitados para os níveis funcionais de floresta.

 

Nível funcional de floresta Recursos habilitados

Windows Server 2003

Todos os recursos padrão do Active Directory, além destes:

  • Relação de confiança de floresta

  • Renomeação de domínio

  • Replicação de valor vinculado (altera o armazenamento de associação de grupo e replica valores para membros individuais, em vez de replicar a associação inteira como uma única unidade) Isso resulta na redução da largura de banda de rede e de uso do processador durante a replicação e elimina a possibilidade de atualizações perdidas quando diferentes membros são adicionados ou removidos simultaneamente em diferentes controladores de domínio.

  • A capacidade de implantar um controlador de domínio somente leitura (RODC) que execute o Windows Server 2008.

  • Algoritmos e escalabilidade aprimorados do Knowledge Consistency Checker (KOC). O gerador de topologia entre sites (ISTG) usa algoritmos aprimorados que são dimensionados para dar suporte a florestas com maior número de sites que podem ter suporte no nível funcional de floresta do Windows 2000.

  • A capacidade de criar instâncias da classe auxiliar dinâmica chamada dynamicObject em uma partição do diretório de domínio.

  • A capacidade de converter uma instância do objeto inetOrgPerson em uma instância do objeto User, e vice-versa.

  • A capacidade de criar instâncias dos novos tipos de grupos, chamados grupos de aplicativos básicos e grupos de consulta do protocolo LDAP para oferecer suporte à autorização baseada em função.

  • Desativação e redefinição de atributos e classes no esquema.

Windows Server 2008

Esse nível funcional fornece todos os recursos disponíveis no nível funcional de floresta do Windows Server 2003, mas nenhum recurso adicional. Entretanto, todos os domínios que forem adicionados subseqüentemente à floresta funcionarão no nível funcional de floresta de domínio Windows Server 2008 por padrão.

Windows Server 2008 R2

Todos os recursos disponíveis no nível funcional de floresta do Windows Server 2003, além dos seguintes recursos.

  • Lixeira do Active Directory, que fornece a capacidade de restaurar totalmente os objetos excluídos durante a execução do AD DS.

Todos os domínios adicionados posteriormente à floresta operam no nível funcional de domínio do Windows Server 2008 R2 , por padrão.

Se você pretende incluir somente controladores de domínio que executem o Windows Server 2008 R2 em toda a floresta, você deve escolher esse nível funcional de floresta para conveniência administrativa. Se o fizer, você nunca terá que elevar o nível funcional de cada domínio que criar na floresta.

Windows Server 2012

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft