種域功能級別有什么區(qū)別?一、概念從win NT到win2000、win2003、win2008都提供活動目錄功能，然而不同操作系統(tǒng)運行的域都提供不同功能的服務，在域內(nèi)由不同類型的操作系統(tǒng)組合而成的域，

種域功能級別有什么區(qū)別?

一、概念

從win NT到win2000、win2003、win2008都提供活動目錄功能，然而不同操作系統(tǒng)運行的域都提供不同功能的服務，在域內(nèi)由不同類型的

操作系統(tǒng)組合而成的域，支持不同的功能、服務，這就稱之為域的功能級別。同理在林中也存在林的功能這個概念在Windwos2003的Active Directory中提供了比Windows2000 Active Directory更高的功能級別，稱為windows2003臨時模式和windows2003模式。只有把所有的與控制器升級到Windows2003模式，整個森林才能被提升到Windwos2003模式。森林功能級別的提升需要手動完成。 二：域功能級別

域功能激活只影響整個域和該域的功能。Windows Server 20008功能級別支持五功能級別，一下分別介紹五功能級別及其功能級別所支

持的域控制器

1：Windows 2000 混合模式（默認）其網(wǎng)絡配置使用Windows 2000和Windows NT 的任意組合系統(tǒng)。Windows 2000 域控制器和

Windows NT 4.0 備份域控制器可以在同一個域中無縫共存而不會出現(xiàn)任何問題。當然Windwos 2003域控制器也支持此模式。激活的功能包

括本地與全局組并支持全局編錄

2：Windows 2000本機模式。域中所有域控制器都可以運行Windows2000或Windwos2003. 激活的功能包括組嵌套、通用組、

Sidhistory 、安全組與通訊組之間的轉(zhuǎn)換、

3：Windows Server 2003臨時模式。允許Windows 2003域控和Windows NT 4 域控制器的混合使用。但不能與Windows2000域控制器混

合使用。顯見支持的域控為Windows 2003和Windows NT4.此級別內(nèi)沒有域范圍的激活功能。該模式只在將NT4的域控升級到Windows2003

域控時使用

4：Windows Server 2003模式。域中所有域控制器只能是Windows 2003和Windows2008。支持的功能包括：

Netdom.exe 提供的域控制器重命名功能、

更新登錄時間戳。將使用用戶或計算機的上次登錄時間來更新lastLogonTimestamp 屬性?？梢栽谟騼?nèi)復制該屬性。

在inetOrgPerson 和用戶對象上將userPassword 屬性設置為有效密碼的功能。

重定向用戶和計算機容器的功能。默認情況下，已提供了兩個已知的容器，用于容納計算機和用戶/組帳戶：即cn=Computers,<域根> 和

cn=Users,<域根>。該功能可用于定義這些帳戶新的已知位置。

授權管理器能夠?qū)⑵涫跈嗖呗源鎯υ贏ctive Directory 域服務(AD DS) 中。

包含受限制的委派，以便使應用程序可通過Kerberos 身份驗證協(xié)議充分利用用戶憑據(jù)的安全委派?？梢詫⑽膳渲脼閮H允許特定的目標

服務。

支持選擇性的身份驗證，通過它可以從受信任林指定允許對信任林中資源服務進行身份驗證的用戶和組。

5：Windows Server 2008模式。目前位置所有域功能級別中最高級別，支持所有Windows 2003域功能級別，之外還支持一下功能

SYSVOL 的分布式文件系統(tǒng)復制支持，可提供SYSVOL 內(nèi)容的更穩(wěn)健更詳細的復制。 Kerberos 協(xié)議的高級加密服務（AES 128 和256）支持。

上次交互式登錄信息，將顯示用戶上次成功交互式登錄的時間、來自什么工作站，以及自上次登錄失敗的登錄嘗試次數(shù)。

嚴格的密碼策略，這可以為域中的用戶和全局安全組指定密碼和帳戶鎖定策略。 注：Windows Server 2008支持目前所有5種域的功能級別

三：域功能級別的評估

1：Windows 2000混合級別

對于沒有完全淘汰Windows NT域控制器的企業(yè)最為合適，但我想現(xiàn)在NT 應該以很難尋覓。

2：Windows 2000本機域級別

如果已經(jīng)部署了從Windows NT到Windows 2000的AD 遷移，那么這個功能級別顯然最合適，而且這種模式也僅僅適合從NT 域環(huán)境升級到Windows2000

3：Windows Server 2003 過度級別

為那些直接從Windows NT域控升級到Windows2003 的用戶準備。但是此種模式不支持

Windows 2000。

4：Windows Server 2003域級別

如果打算轉(zhuǎn)換林之前將域級別提升到Windows 2003功能級別，此種模式為最好的選擇。要求域中所有域控為windows 2003 或

windows2008

5：Windows Server 2008域級別

目前最高級別，要求所有域控都是Windows Server 2008.

四：林的功能級別

主要分為三種

1：Windows 2000

支持所有默認的Active Directory 功能。

2：Windows Server 2003

所有默認的Active Directory 功能及以下功能：

林信任。

域重命名。

鏈接值復制（組成員身份中的更改為各個成員存儲并復制值，而不是作為單個單位復制整個成員身份）。在不同域控制器中同時添加或刪

除不同成員時，這種更改可在復制期間占用更少的網(wǎng)絡帶寬并降低處理器使用率，同時消除丟失更新可能性。

部署運行Windows Server 2008 的只讀域控制器(RODC) 的功能。

改進的知識一致性檢查器(KCC) 的算法和可伸縮性。站點間拓撲生成器(ISTG) 使用改進的算法，可縮放以支持具有遠遠大于在Windows

2000 林功能級別上所支持站點的數(shù)量的林。改進的ISTG 選擇算法是一種在Windows 2000 林功能級別選擇ISTG 的入侵性較小的機制。

改進的ISTG 算法（更好的縮放ISTG 用于連接林中所有站點的算法）。

在域目錄分區(qū)中創(chuàng)建動態(tài)輔助類（稱為dynamicObject ）的實例的功能。

將inetOrgPerson 對象實例轉(zhuǎn)換為User 對象實例的功能，反之亦然。

創(chuàng)建新組（稱為應用程序基本組和輕型目錄訪問協(xié)議(LDAP) 查詢組）類型的實例以支持基于角色的身份驗證的功能。

在架構中停用并重新定義屬性和類別。

3：Windows 2008

該功能級別提供Windows Server 2003 林功能級別上可用的所有功能，但不提供任何其他功能。但在默認情況下，隨后添加到林的所有

域，將在Windows Server 2008 域功能級別進行操作。

五：提升域功能級別

大家比較熟悉的是由Windows 2000混合模式升級到Windows 2003模式，具體操作到網(wǎng)上自行搜索

注意，當域功能級別提升后，運行較老的域控制器將不能被加入到域中。例如，如果將域的功能級別提升到Windows 2003，則原來的

Windwos 2000的域控將不能被添加到域中

注：由Windows 2003 域控升級到Windows2008域控，如果沒有選擇升級后的模式為Windows Server 2008 則不能叫做域功能級別，只是

簡單的升級域控制器，模式未變，當然也就不會增加新功能。