Режимы_работы_леса_2008_r2

Общее представление о функциональных возможностях домена и леса

Функциональные возможности домена и леса, которые доступны в доменных службах Active Directory (AD DS) Windows Server® 2008 R2, позволяют включать в сетевой среде возможности Active Directory уровня домена или леса. В зависимости от сетевой среды доступны различные режимы работы домена и леса.

Если все контроллеры домена в домене или лесу работают под управлением Windows Server 2008 R2 и задан режим работы домена и леса Windows Server 2008 R2, то доступны все возможности как уровня домена, так и уровня леса. Если домен или лес содержит контроллеры домена Windows 2000, Windows Server 2003 или Windows Server 2008, возможности Active Directory ограничены. Дополнительные сведения о включении возможностей уровня домена или леса см. в разделах Повышение режима работы домена и Повышение режима работы леса.

Функциональные возможности домена

Функциональные возможности домена включают функции, которые влияют на весь этот домен. В AD DS Windows Server 2008 R2 доступны четыре режима работы домена: основной режим Windows 2000, Windows Server 2003 (по умолчанию), Windows Server 2008 и Windows Server 2008 R2.

В следующей таблице перечислены режимы работы домена и соответствующие поддерживаемые контроллеры домена.

Основной режим Windows 2000

При повышении режима работы домена контроллеры домена, работающие под управлением более ранних операционных систем, нельзя включить в домен. Например, при повышении режима работы домена до Windows Server 2008 R2 в этот домен нельзя будет добавить контроллеры домена, работающие под управлением Windows Server 2008.

В следующей таблице описаны возможности уровня домена, которые включены для режимов работы домена AD DS Windows Server 2008 R2.

Windows 2000 (основной режим)

Все возможности Active Directory по умолчанию и следующие возможности:

универсальные группы включены как для групп рассылки, так и для групп безопасности;

Все возможности Active Directory по умолчанию, все возможности основного режима работы домена Windows 2000 и следующие возможности:

доступность средства управления доменом, Netdom.exe, для переименования контроллера домена;

Все возможности Active Directory по умолчанию, все возможности из режима работы домена Windows Server 2003 и следующие возможности:

поддержка репликации распределенной файловой системы для SYSVOL, которая обеспечивает более надежную и управляемую репликацию содержимого SYSVOL;

Все стандартные возможности Active Directory, все возможности режима работы Windows Server 2008 плюс следующие возможности:

Механизм проверки подлинности, комплектующий сведения о типе метода входа в систему (смарт-карта или имя пользователя и пароль), используемом для проверки подлинности пользователей домена в каждом токене Kerberos пользователя. Если эта возможность включена в сетевой среде, которая развернула инфраструктуру по управлению федеративной идентификацией, например службы федерации Active Directory (AD FS), данные в токене можно извлечь при каждой попытке пользователя получить доступ к поддерживающему утверждения приложению, которое было разработано для определения проверки подлинности на основе метода входа пользователя.

Функциональные возможности леса

Функциональные возможности леса включают возможности во всех доменах в лесу. В операционной системе Windows Server 2008 R2 доступны четыре режима работы леса: Windows 2000, Windows Server 2003 (по умолчанию), Windows Server 2008 и Windows Server 2008 R2.

В следующей таблице перечислены режимы работы леса, существующие в операционной системе Windows Server 2008 R2, и соответствующие поддерживаемые контроллеры домена.

Windows Server 2003 (по умолчанию)

При повышении режима работы леса контроллеры домена, работающие под управлением более ранних операционных систем, нельзя включить в лес. Например, при повышении режима работы леса до Windows Server 2008 R2 в этот лес нельзя будет добавить контроллеры домена, работающие под управлением Windows Server 2008.

В следующей таблице описаны возможности уровня леса, которые включены для режимов работы леса Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2.

Все возможности Active Directory по умолчанию и следующие возможности:

Этот режим работы предоставляет все возможности, доступные при режиме работы леса Windows Server 2003, но не дополнительные возможности. Однако все домены, в дальнейшем добавляемые к лесу, будут по умолчанию работать в режиме работы домена Windows Server 2008.

Все возможности, доступные в режиме работы леса Windows Server 2003, плюс следующие возможности:

Корзина Active Directory, позволяющая восстанавливать удаленные объекты во время выполнения AD DS.

Все домены, впоследствии добавленные в лес, по умолчанию будут работать в режиме работы домена Windows Server 2008 R2.

Если планируется использовать во всем лесу только контроллеры домена с операционной системой Windows Server 2008 R2, для удобства администрирования можно выбрать этот режим работы леса. В этом случае не понадобится повышать режим работы домена ни для каких доменов, создаваемых в лесу.

Источник

Повышение режима работы леса

При установке доменных служб Active Directory (AD DS) на сервер, работающий под управлением ОС Windows Server 2008 R2, по умолчанию включается набор базовых возможностей Active Directory. Базовые возможности Active Directory для отдельных контроллеров домена дополняются новыми возможностями Active Directory уровня домена и леса, доступными, когда все контроллеры домена в домене или лесу работают под управлением ОС Windows Server 2008 R2. Дополнительные сведения см. в разделе Основные сведения о функциональных возможностях домена и леса.

Для включения новых возможностей уровня леса необходимо, чтобы все контроллеры домена в лесу работали под управлением Windows Server 2008 R2, а режим работы леса должен быть повышен до Windows Server 2008 R2. Для повышения режима работы леса с помощью оснастки «Центр администрирования Active Directory» можно использовать следующую процедуру.

Минимальное требование для выполнения этой процедуры — членство в группе Администраторы домена в корневом домене леса, или в группе Администраторы предприятия в доменных службах Active Directory, или в эквивалентной группе. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .

1. Чтобы открыть оснастку «Центр администрирования Active Directory», нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Центр администрирования Active Directory.
   

   Примечание

   Чтобы открыть оснастку «Центр администрирования Active Directory» другим способом, нажмите кнопку Пуск, выберите пункт Выполнить и введите dsac.exe.

2. В области навигации щелкните правой кнопкой мыши домен, относящийся к лесу, режим работы которого требуется повысить, и выберите пункт Повышение режима работы леса.
3. В диалоговом окне Выберите режим работы леса выполните одно из следующих действий:
4. чтобы повысить режим работы леса до Windows Server 2008, выберите пункт Windows Server 2008 и нажмите кнопку ОК;

• После установки значения режима работы леса его нельзя отменить или понизить, за исключением следующего случая: режим работы леса повышается до Windows Server 2008 R2, а корзина Active Directory не включена. В этом случае можно откатить режим работы леса до Windows Server 2008 (дополнительные сведения о корзине Active Directory см. в разделе «Новые возможности доменных служб Active Directory: корзина Active Directory» (
• https://go.microsoft.com/fwlink/?LinkId=141392 ).
• Режим работы леса может быть понижен только с Windows Server 2008 R2 до Windows Server 2008. Режим работы леса Windows Server 2008 R2 нельзя понизить, например, до Windows Server 2003.

Что также следует учитывать

• Для доменов с заданным режимом работы домена Windows Server 2008 режим работы будет автоматически повышен до Windows Server 2008 R2 одновременно с повышением режима работы леса до Windows Server 2008 R2.

Источник

Повышение режима работы леса

При установке доменных служб Active Directory (AD DS) на сервере, который работает под управлением Windows Server 2008 R2, по умолчанию включается набор базовых возможностей Active Directory. В дополнение к базовым возможностям Active Directory на отдельных контроллерах домена имеются и новые возможности Active Directory уровня домена и леса; они доступны, когда все контроллеры домена в домене или лесу работают под управлением Windows Server 2008 R2.

Для включения новых возможностей уровня леса необходимо, чтобы все контроллеры домена в лесу работали под управлением Windows Server 2008 R2, а режим работы леса должен быть повышен до Windows Server 2008 R2.

Минимальное требование для выполнения этой процедуры — членство в группе Администраторы домена или Администраторы предприятия или в эквивалентной группе. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .

1. Откройте оснастку «Active Directory — домены и доверие». Для открытия оснастки «Active Directory — домены и доверие» нажмите кнопку Пуск, выберите Администрирование, а затем — Active Directory — домены и доверие.
2. В дереве консоли щелкните правой кнопкой Active Directory — домены и доверие и выберите Изменение режима работы леса.
3. В диалоговом окне Выберите режим работы леса выполните одно из следующих действий:
4. чтобы повысить режим работы леса до Windows Server 2008, выберите Windows Server 2008, а затем — Изменить;

Не повышайте режим работы леса до Windows Server 2008 R2, если контроллеры домена, работающие под управлением Windows Server 2008 или более ранних версий, уже имеются или будут использоваться в дальнейшем.

Задав режиму работы леса определенное значение, выполнить откат или понизить режим работы леса будет невозможно за одним исключением: при повышении режима работы леса до Windows Server 2008 R2 и если корзина Active Directory не включена, можно выполнить откат режима работы до Windows Server 2008. Понизить режим работы леса можно только с Windows Server 2008 R2 до Windows Server 2008. Если режим работы леса установлен как Windows Server 2008 R2, выполнить его откат, например до Windows Server 2003, нельзя.

Дополнительная информация

• Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена» или «Администраторы предприятия» в доменных службах Active Directory либо получить соответствующие полномочия путем делегирования. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду Запуск от имени. Чтобы получить дополнительные сведения, выполните поиск «запуск от имени» в центре справки и поддержки;

Источник