Principy úrovní funkčnosti domény a doménové struktury

Aktualizováno: březen 2012

Rozsah platnosti: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012

Úrovně funkčnosti domény a doménové struktury

Úrovně funkčnosti domény a doménové struktury představují způsob, jak ve vašem prostředí služby AD DS (Active Directory Domain Services) povolit funkce na úrovni domény nebo doménové struktury. V závislosti na síťovém prostředí jsou dostupné různé úrovně funkčnosti domény a doménové struktury.

Pokud všechny řadiče domény v dané doméně či doménové struktuře používají nejnovější verzi systému Windows Server a úroveň funkčnosti domény a doménové struktury je nastavena na nejvyšší hodnotu, jsou k dispozici veškeré funkce na úrovni domény a doménové struktury. Pokud doména nebo doménová struktura obsahuje řadiče domény, které používají starší verze systému Windows Server, jsou funkce služby AD DS omezené. Informace o povolení funkcí na úrovni domény nebo doménové struktury naleznete v tématech Zvýšení úrovně funkčnosti domény a Zvýšení úrovně funkčnosti doménové struktury.

Úrovně funkčnosti domény

Funkčnost domény aktivuje funkce, které ovlivňují celou doménu a pouze tuto doménu. V následující tabulce jsou uvedeny úrovně funkčnosti domény a odpovídající podporované řadiče domény:

 

Úroveň funkčnosti domény Podporované operační systémy pro řadiče domény

Windows Server 2003

Windows Server 8 Beta

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 8 Beta

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2

Windows Server 8 Beta

Windows Server 2008 R2

Windows Server 8 Beta

Windows Server 8 Beta

Následující tabulka popisuje funkce na úrovni domény, které jsou povoleny pro úrovně funkčnosti domény.

 

Úroveň funkčnosti domény Povolené funkce

Nativní režim Windows 2000

Všechny výchozí funkce služby Active Directory a následující funkce:

 • univerzální skupiny jsou povoleny jak pro distribuční skupiny, tak pro skupiny zabezpečení,

 • vnořování skupin,

 • je povolen převod skupin umožňující převod mezi skupinami zabezpečení a distribučními skupinami,

 • historie identifikátorů zabezpečení (SID).

Windows Server 2003

Všechny výchozí funkce služby Active Directory, všechny funkce z úrovně funkčnosti domény nativního režimu systému Windows 2000 a následující funkce:

 • Příprava přejmenování řadiče domény pomocí nástroje Netdom.exe určeného ke správě domény.

 • Aktualizace časového razítka přihlášení. Atribut lastLogonTimestamp je aktualizován posledním časem přihlášení uživatele nebo počítače. Tento atribut je replikován v rámci domény.

 • Možnost nastavení atributu userPassword jako účinného hesla u objektu inetOrgPerson a objektů uživatelů.

 • Možnost přesměrování kontejnerů Uživatelé a Počítače. Ve výchozím nastavení jsou poskytovány dva známé kontejnery pro uložení účtů počítačů a uživatelských či skupinových účtů: cn=Počítače,<kořen domény> a cn=Uživatelé,<kořen domény>. Tato funkce umožňuje definovat nová známá umístění pro tyto účty.

 • Správce autorizací může zásady autorizace ukládat ve službě AD DS.

 • K dispozici je vynucené delegování, které umožňuje aplikacím využívat zabezpečené delegování uživatelských pověření pomocí ověřovacího protokolu Kerberos. Delegování lze nakonfigurovat tak, aby bylo povoleno pouze u konkrétních cílových služeb.

 • Je podporováno vybrané ověření umožňující určit uživatele a skupiny z důvěryhodné doménové struktury, kteří se mohou ověřovat vůči serverům v důvěřující doménové struktuře.

Windows Server 2008

Všechny výchozí funkce služby Active Directory, všechny funkce z úrovně funkčnosti domény Windows Server 2003 a následující funkce:

 • podpora služby Replikace distribuovaného systému souborů (DFSR) pro svazek SYSVOL poskytující robustnější a podrobnější replikaci obsahu svazku SYSVOL,

 • podpora šifrování AES 128 a 256 (Advanced Encryption Services) pro ověřovací protokol Kerberos,

 • informace o posledním interaktivním přihlášení zobrazující čas, kdy se uživatel naposledy úspěšně přihlásil, z jaké pracovní stanice a počet neúspěšných pokusů o přihlášení od posledního přihlášení,

 • podrobné zásady pro hesla umožňující zadání zásad uzamykání hesel a účtů pro uživatele a globální skupiny zabezpečení v doméně.

Windows Server 2008 R2

Všechny výchozí funkce služby Active Directory, všechny funkce z úrovně funkčnosti domény Windows Server 2008 a následující funkce:

 • Funkce Záruka ověřovacího mechanismu, která vytváří balíčky informací o typu přihlašovací metody (čipová karta nebo uživatelské jméno a heslo), která se používá k ověřování uživatelů v doméně uvnitř tokenu protokolu Kerberos jednotlivých uživatelů. Je-li tato funkce povolena v síťovém prostředí, kde je nasazena infrastruktura federované správy identit, jako například služba AD FS (Active Directory Federation Services), lze informace z tokenu extrahovat vždy, když se uživatel pokusí o přístup k libovolné aplikaci pracující s deklaracemi, která byla vytvořena, aby určovala autorizaci na základě způsobu přihlášení uživatele.

Windows Server 8 Beta

Úrovně funkčnosti doménové struktury

Úrovně funkčnosti doménové struktury aktivují funkce působící v rámci všech domén doménové struktury. V následující tabulce jsou uvedeny úrovně funkčnosti doménové struktury a odpovídající podporované řadiče domény.

 

Úroveň funkčnosti doménové struktury Podporované operační systémy pro řadiče domény

Windows Server 2003

Windows Server 8 Beta

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 8 Beta

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2 (výchozí)

Windows Server 8 Beta

Windows Server 2008 R2

Windows Server 8 Beta

Windows Server 8 Beta

Následující tabulka popisuje funkce na úrovni doménové struktury, které jsou povoleny pro úrovně funkčnosti doménové struktury.

 

Úroveň funkčnosti doménové struktury Povolené funkce

Windows Server 2003

Všechny výchozí funkce služby Active Directory a následující funkce:

 • Vztah důvěryhodnosti doménové struktury

 • Přejmenování domény

 • Replikace propojených hodnot (změny úložiště členství ve skupině a replikace hodnot pro jednotlivé členy namísto replikace celého členství jako jediné jednotky). Výsledkem je menší využití šířky pásma a procesoru během replikace, což vylučuje možnou ztrátu aktualizací, pokud jsou v různých řadičích domény souběžně přidáváni a odebíráni různí členové.

 • Možnost nasazení řadiče domény jen pro čtení (RODC) se systémem Windows Server 2008

 • Vylepšený algoritmus kontroly konzistence znalostí (KCC) a lepší škálovatelnost. Generátor topologie mezi lokalitami (ISTG) využívá vylepšené algoritmy s možností škálování, které podporují doménové struktury s větším počtem lokalit, než podporuje úroveň funkčnosti domény Windows 2000.

 • Možnost vytváření instancí dynamické pomocné třídy s názvem dynamicObject v oddílu adresáře domény

 • Možnost převodu instance objektu inetOrgPerson na instanci objektu Uživatel a naopak

 • Možnost vytváření instancí nových typů skupin označovaných jako základní skupiny aplikací a skupiny dotazů protokolu LDAP (Lightweight Directory Access Protocol) pro podporu ověřování na základě role

 • Deaktivace a opětovná definice atributů a tříd ve schématu

Windows Server 2008

Tato úroveň funkčnosti domény poskytuje všechny funkce dostupné u úrovně funkčnosti domény Windows Server 2003, ale žádné dodatečné funkce. Všechny domény, které jsou následně přidány do doménové struktury, však budou ve výchozím nastavení provozovány na úrovni funkčnosti domény Windows Server 2008.

Windows Server 2008 R2

Všechny funkce dostupné na úrovni funkčnosti doménové struktury Windows Server 2003 a následující funkce:

 • Funkce Koš služby Active Directory, která při spuštěné službě AD DS umožňuje úplné obnovení odstraněných objektů.

Všechny domény následně přidané do doménové struktury budou ve výchozím nastavení provozovány na úrovni funkčnosti domény Windows Server 2008 R2.

Pokud v celé doménové struktuře chcete mít pouze řadiče domény se systémem Windows Server 2008 R2, doporučujeme tuto úroveň funkčnosti doménové struktury zvolit z důvodu snadnější správy. V takovém případě nebude nutné zvyšovat úroveň funkčnosti domén vytvářených v doménové struktuře.

Windows Server 8 Beta

Obsah vytvořený komunitou

Přidat
Zobrazit: