種域功能級(jí)別有什么區(qū)別?一、概念從win NT到win2000、win2003、win2008都提供活動(dòng)目錄功能，然而不同操作系統(tǒng)運(yùn)行的域都提供不同功能的服務(wù)，在域內(nèi)由不同類(lèi)型的操作系統(tǒng)組合而成的域，

種域功能級(jí)別有什么區(qū)別?

一、概念

從win NT到win2000、win2003、win2008都提供活動(dòng)目錄功能，然而不同操作系統(tǒng)運(yùn)行的域都提供不同功能的服務(wù)，在域內(nèi)由不同類(lèi)型的

操作系統(tǒng)組合而成的域，支持不同的功能、服務(wù)，這就稱(chēng)之為域的功能級(jí)別。同理在林中也存在林的功能這個(gè)概念在Windwos2003的Active Directory中提供了比Windows2000 Active Directory更高的功能級(jí)別，稱(chēng)為windows2003臨時(shí)模式和windows2003模式。只有把所有的與控制器升級(jí)到Windows2003模式，整個(gè)森林才能被提升到Windwos2003模式。森林功能級(jí)別的提升需要手動(dòng)完成。 二：域功能級(jí)別

域功能激活只影響整個(gè)域和該域的功能。Windows Server 20008功能級(jí)別支持五功能級(jí)別，一下分別介紹五功能級(jí)別及其功能級(jí)別所支

持的域控制器

1：Windows 2000 混合模式（默認(rèn)）其網(wǎng)絡(luò)配置使用Windows 2000和Windows NT 的任意組合系統(tǒng)。Windows 2000 域控制器和

Windows NT 4.0 備份域控制器可以在同一個(gè)域中無(wú)縫共存而不會(huì)出現(xiàn)任何問(wèn)題。當(dāng)然Windwos 2003域控制器也支持此模式。激活的功能包

括本地與全局組并支持全局編錄

2：Windows 2000本機(jī)模式。域中所有域控制器都可以運(yùn)行Windows2000或Windwos2003. 激活的功能包括組嵌套、通用組、

Sidhistory 、安全組與通訊組之間的轉(zhuǎn)換、

3：Windows Server 2003臨時(shí)模式。允許Windows 2003域控和Windows NT 4 域控制器的混合使用。但不能與Windows2000域控制器混

合使用。顯見(jiàn)支持的域控為Windows 2003和Windows NT4.此級(jí)別內(nèi)沒(méi)有域范圍的激活功能。該模式只在將NT4的域控升級(jí)到Windows2003

域控時(shí)使用

4：Windows Server 2003模式。域中所有域控制器只能是Windows 2003和Windows2008。支持的功能包括：

Netdom.exe 提供的域控制器重命名功能、

更新登錄時(shí)間戳。將使用用戶(hù)或計(jì)算機(jī)的上次登錄時(shí)間來(lái)更新lastLogonTimestamp 屬性?？梢栽谟騼?nèi)復(fù)制該屬性。

在inetOrgPerson 和用戶(hù)對(duì)象上將userPassword 屬性設(shè)置為有效密碼的功能。

重定向用戶(hù)和計(jì)算機(jī)容器的功能。默認(rèn)情況下，已提供了兩個(gè)已知的容器，用于容納計(jì)算機(jī)和用戶(hù)/組帳戶(hù)：即cn=Computers,<域根> 和

cn=Users,<域根>。該功能可用于定義這些帳戶(hù)新的已知位置。

授權(quán)管理器能夠?qū)⑵涫跈?quán)策略存儲(chǔ)在A(yíng)ctive Directory 域服務(wù)(AD DS) 中。

包含受限制的委派，以便使應(yīng)用程序可通過(guò)Kerberos 身份驗(yàn)證協(xié)議充分利用用戶(hù)憑據(jù)的安全委派?？梢詫⑽膳渲脼閮H允許特定的目標(biāo)

服務(wù)。

支持選擇性的身份驗(yàn)證，通過(guò)它可以從受信任林指定允許對(duì)信任林中資源服務(wù)進(jìn)行身份驗(yàn)證的用戶(hù)和組。

5：Windows Server 2008模式。目前位置所有域功能級(jí)別中最高級(jí)別，支持所有Windows 2003域功能級(jí)別，之外還支持一下功能

SYSVOL 的分布式文件系統(tǒng)復(fù)制支持，可提供SYSVOL 內(nèi)容的更穩(wěn)健更詳細(xì)的復(fù)制。 Kerberos 協(xié)議的高級(jí)加密服務(wù)（AES 128 和256）支持。

上次交互式登錄信息，將顯示用戶(hù)上次成功交互式登錄的時(shí)間、來(lái)自什么工作站，以及自上次登錄失敗的登錄嘗試次數(shù)。

嚴(yán)格的密碼策略，這可以為域中的用戶(hù)和全局安全組指定密碼和帳戶(hù)鎖定策略。 注：Windows Server 2008支持目前所有5種域的功能級(jí)別

三：域功能級(jí)別的評(píng)估

1：Windows 2000混合級(jí)別

對(duì)于沒(méi)有完全淘汰Windows NT域控制器的企業(yè)最為合適，但我想現(xiàn)在NT 應(yīng)該以很難尋覓。

2：Windows 2000本機(jī)域級(jí)別

如果已經(jīng)部署了從Windows NT到Windows 2000的AD 遷移，那么這個(gè)功能級(jí)別顯然最合適，而且這種模式也僅僅適合從NT 域環(huán)境升級(jí)到Windows2000

3：Windows Server 2003 過(guò)度級(jí)別

為那些直接從Windows NT域控升級(jí)到Windows2003 的用戶(hù)準(zhǔn)備。但是此種模式不支持

Windows 2000。

4：Windows Server 2003域級(jí)別

如果打算轉(zhuǎn)換林之前將域級(jí)別提升到Windows 2003功能級(jí)別，此種模式為最好的選擇。要求域中所有域控為windows 2003 或

windows2008

5：Windows Server 2008域級(jí)別

目前最高級(jí)別，要求所有域控都是Windows Server 2008.

四：林的功能級(jí)別

主要分為三種

1：Windows 2000

支持所有默認(rèn)的Active Directory 功能。

2：Windows Server 2003

所有默認(rèn)的Active Directory 功能及以下功能：

林信任。

域重命名。

鏈接值復(fù)制（組成員身份中的更改為各個(gè)成員存儲(chǔ)并復(fù)制值，而不是作為單個(gè)單位復(fù)制整個(gè)成員身份）。在不同域控制器中同時(shí)添加或刪

除不同成員時(shí)，這種更改可在復(fù)制期間占用更少的網(wǎng)絡(luò)帶寬并降低處理器使用率，同時(shí)消除丟失更新可能性。

部署運(yùn)行Windows Server 2008 的只讀域控制器(RODC) 的功能。

改進(jìn)的知識(shí)一致性檢查器(KCC) 的算法和可伸縮性。站點(diǎn)間拓?fù)渖善?ISTG) 使用改進(jìn)的算法，可縮放以支持具有遠(yuǎn)遠(yuǎn)大于在Windows

2000 林功能級(jí)別上所支持站點(diǎn)的數(shù)量的林。改進(jìn)的ISTG 選擇算法是一種在Windows 2000 林功能級(jí)別選擇ISTG 的入侵性較小的機(jī)制。

改進(jìn)的ISTG 算法（更好的縮放ISTG 用于連接林中所有站點(diǎn)的算法）。

在域目錄分區(qū)中創(chuàng)建動(dòng)態(tài)輔助類(lèi)（稱(chēng)為dynamicObject ）的實(shí)例的功能。

將inetOrgPerson 對(duì)象實(shí)例轉(zhuǎn)換為User 對(duì)象實(shí)例的功能，反之亦然。

創(chuàng)建新組（稱(chēng)為應(yīng)用程序基本組和輕型目錄訪(fǎng)問(wèn)協(xié)議(LDAP) 查詢(xún)組）類(lèi)型的實(shí)例以支持基于角色的身份驗(yàn)證的功能。

在架構(gòu)中停用并重新定義屬性和類(lèi)別。

3：Windows 2008

該功能級(jí)別提供Windows Server 2003 林功能級(jí)別上可用的所有功能，但不提供任何其他功能。但在默認(rèn)情況下，隨后添加到林的所有

域，將在Windows Server 2008 域功能級(jí)別進(jìn)行操作。

五：提升域功能級(jí)別

大家比較熟悉的是由Windows 2000混合模式升級(jí)到Windows 2003模式，具體操作到網(wǎng)上自行搜索

注意，當(dāng)域功能級(jí)別提升后，運(yùn)行較老的域控制器將不能被加入到域中。例如，如果將域的功能級(jí)別提升到Windows 2003，則原來(lái)的

Windwos 2000的域控將不能被添加到域中

注：由Windows 2003 域控升級(jí)到Windows2008域控，如果沒(méi)有選擇升級(jí)后的模式為Windows Server 2008 則不能叫做域功能級(jí)別，只是

簡(jiǎn)單的升級(jí)域控制器，模式未變，當(dāng)然也就不會(huì)增加新功能。