活动目录之域功能级别详解

 一概念

    从win NT到win2000、win2003、win2008都提供提供活动目录功能，然而不同操作系统运行的域都提供不同功能的服务，在域内由不同类型的操作系统组合而成的域，支持不同的功能、服务，这就称之为域的功能级别。同理在林中也存在林的功能这个概念

    在Windwos2003的Active Directory中提供了比Windows2000 Active Directory更高的功能级别，称为windows2003临时模式和windows2003模式。只有把所有的与控制器升级到Windows2003模式，整个森林才能被提升到Windwos2003模式。森林功能级别的提升需要手动完成。

    二：域功能级别

    域功能激活只影响整个域和该域的功能。Windows Server 20008功能级别支持五功能级别，一下分别介绍五功能级别及其功能级别所支持的域控制器

    1：Windows 2000 混合模式（默认）其网络配置使用Windows 2000和Windows NT 的任意组合系统。Windows 2000 域控制器和Windows NT 4.0 备份域控制器可以在同一个域中无缝共存而不会出现任何问题。当然Windwos 2003域控制器也支持此模式。激活的功能包括本地与全局组并支持全局编录

    2：Windows 2000本机模式。域中所有域控制器都可以运行Windows2000或Windwos2003.激活的功能包括组嵌套、通用组、Sidhistory、安全组与通讯组之间的转换、

    3：Windows Server 2003临时模式。允许Windows 2003域控和Windows NT 4 域控制器的混合使用。但不能与Windows2000域控制器混合使用。显见支持的域控为Windows 2003和Windows NT4.此级别内没有域范围的激活功能。该模式只在将NT4的域控升级到Windows2003域控时使用

    4：Windows Server 2003模式。域中所有域控制器只能是Windows 2003和Windows2008。支持的功能包括：

    Netdom.exe提供的域控制器重命名功能、

    更新登录时间戳。将使用用户或计算机的上次登录时间来更新 lastLogonTimestamp 属性。可以在域内复制该属性。

    在 inetOrgPerson 和用户对象上将 userPassword 属性设置为有效密码的功能。

    重定向用户和计算机容器的功能。默认情况下，已提供了两个已知的容器，用于容纳计算机和用户/组帐户：即 cn=Computers,<域根> 和 cn=Users,<域根>。该功能可用于定义这些帐户新的已知位置。

    授权管理器能够将其授权策略存储在 Active Directory 域服务 (AD DS) 中。

    包含受限制的委派，以便使应用程序可通过 Kerberos 身份验证协议充分利用用户凭据的安全委派。可以将委派配置为仅允许特定的目标服务。

    支持选择性的身份验证，通过它可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。

    5：Windows Server 2008模式。目前位置所有域功能级别中最高级别，支持所有Windows 2003域功能级别，之外还支持一下功能

    SYSVOL 的分布式文件系统复制支持，可提供 SYSVOL 内容的更稳健更详细的复制。

    Kerberos 协议的高级加密服务（AES 128 和 256）支持。

    上次交互式登录信息，将显示用户上次成功交互式登录的时间、来自什么工作站，以及自上次登录失败的登录尝试次数。

    严格的密码策略，这可以为域中的用户和全局安全组指定密码和帐户锁定策略。

    注：Windows Server 2008支持目前所有5种域的功能级别