Функциональность домена и леса
Функциональность домена и леса, впервые представленная в Active Directory Windows Server 2003, позволяет включить в сетевом окружении возможности Active Directory уровня домена и леса. В зависимости от используемой среды доступны различные режимы работы домена и режимы работы леса.
Если все контроллеры доменов в домене или лесу работают под управлением Windows Server 2003 и задан режим работы Windows Server 2003, доступны все возможности уровня домена и леса. Если в домене вместе с контроллерами домена под управлением Windows Server 2003 работают контроллеры домена под управлением Windows NT 4.0 или Windows 2000, возможности Active Directory ограничены. Дополнительные сведения о включении возможностей уровня домена или леса см. в разделе Повышение режимов работы домена и леса.
Возможность включения дополнительных возможностей Active Directory имеется в смешанном и в основном режиме Windows 2000. Домены, работающие в смешанном режиме, могут содержать резервные контроллеры домена Windows NT 4.0 и не могут использовать универсальные группы безопасности, вложение групп и журнал идентификаторов безопасности (SID). Если домен работает в основном режиме, возможно использование универсальных групп безопасности, вложения групп и журнала SID. Контроллеры домена, работающие под управлением Windows 2000 Server, не поддерживают изменение режима домена или леса.
Режимы работы домена
Режим домена включает возможности, влияющие на весь домен, и только на данный домен. Существует четыре режима работы домена: смешанный режим Windows 2000 (по умолчанию), основной режим Windows 2000, промежуточный режим Windows Server 2003 и Windows Server 2003. По умолчанию домены работают в смешанном режиме Windows 2000.
В следующей таблице перечислены режимы работы домена и поддерживаемые ими контроллеры домена.
| Режим работы домена | Поддерживаемые контроллеры домена |
| Смешанный режим Windows 2000 (по умолчанию) | Windows NT 4.0 Windows 2000 Семейство Windows Server 2003 |
| Основной режим Windows 2000 | Windows 2000 Семейство Windows Server 2003 |
| Промежуточный режим Windows Server 2003 | Windows NT 4.0 Семейство Windows Server 2003 |
| Windows Server 2003 | Семейство Windows Server 2003 |
После повышения режима работы домена добавление контроллеров домена, работающих под управлением более ранних операционных систем, невозможно. Например, если повысить режим работы домена до Windows Server 2003, в этот домен нельзя будет добавить контроллеры домена, работающие под управлением Windows 2000 Server.
В следующей таблице описаны возможности уровня домена, доступные в трех режимах работы домена. Сведения о промежуточном режиме Windows Server 2003 см. в разделе Обновление домена Windows NT.
| Возможность режима домена | Смешанный режим Windows 2000 | Основной режим Windows 2000 | Windows Server 2003 |
| Средство переименования контроллера домена Дополнительные сведения см. в разделе Переименование контроллеров домена. | Отключено | Отключено | Включено |
| Вариант разных размещений учетных записей пользователей и компьютеров. Дополнительные сведения о переназначении используемого по умолчанию размещения учетных записей пользователей и компьютеров см. в разделе Переназначение контейнеров «Пользователи» и «Компьютеры». | Отключено | Отключено | Включено |
| Обновление штампа времени входа Дополнительные сведения об атрибуте lastLogonTimestamp см. в разделе Учетные записи пользователей и компьютеров. | Отключено | Отключено | Включено |
| Пароль пользователя для объекта InetOrgPerson Дополнительные сведения об объектах InetOrgPerson см. в разделе Учетные записи пользователей и компьютеров. | Отключено | Отключено | Включено |
| Универсальные группы Дополнительные сведения см. в разделах Типы группы и Область действия группы. | Включены для групп распространения. Отключены для групп безопасности. | Включено Включены для групп безопасности и распространения | Включено Включены для групп безопасности и распространения |
| Вложенность групп Дополнительные сведения см. в разделе Вложенность групп. | Включены для групп распространения. Отключена для групп безопасности кроме локальных групп безопасности домена, членами которых могут быть глобальные группы. | Включено Допускает полную вложенность групп. | Включено Допускает полную вложенность групп. |
| Преобразование групп Дополнительные сведения см. в разделе Преобразование групп. | Отключено Преобразование групп запрещено. | Включено Включено между группами безопасности и группами распространения. | Включено Включено между группами безопасности и группами распространения. |
| Журнал SID | Отключено | Включено Включен для миграции участников безопасности из одного домена в другой. | Включено Включен для миграции участников безопасности из одного домена в другой. |
Режимы работы леса
Режим леса включает возможности, влияющие на все домены данного леса. Доступны три режима работы леса: Windows 2000 (по умолчанию), промежуточный режим Windows Server 2003 и Windows Server 2003. По умолчанию лес работает в режиме Windows 2000. Режим работы леса можно повысить до Windows Server 2003.
В следующей таблице перечислены режимы работы леса и поддерживаемые ими контроллеры домена.
| Режим работы леса | Поддерживаемые контроллеры домена |
| Windows 2000 (по умолчанию) | Windows NT 4.0 Windows 2000 Семейство Windows Server 2003 |
| Промежуточный режим Windows Server 2003 | Windows NT 4.0 Семейство Windows Server 2003 |
| Windows Server 2003 | Семейство Windows Server 2003 |
После повышения режима работы леса добавление в него контроллеров домена, работающих под управлением более ранних операционных систем, невозможно. Например, если повысить режим работы леса до Windows Server 2003, в этот лес нельзя будет добавить контроллеры домена, работающие под управлением Windows 2000 Server.
Если требуется обновить первый домен Windows NT 4.0, чтобы он стал первым доменом в новом лесу Windows Server 2003, можно выбрать для него промежуточный режим Windows Server 2003. Дополнительные сведения (на английском языке) см. в разделе, посвященном Обновление домена Windows NT.
В следующей таблице описаны возможности уровня леса, доступные в режимах работы леса Windows 2000 и Windows Server 2003.
| Возможность режима леса | Windows 2000 | Windows Server 2003 |
| Улучшенная репликация глобального каталога Дополнительные сведения см. в разделе Репликация глобального каталога. | Включена, если оба партнера репликации работают под управлением Windows Server 2003. В противном случае отключена. | Включено |
| Объекты схемы Defunct Дополнительные сведения см. в разделе Деактивация класса или атрибута. | Отключено | Включено |
| Доверие лесов Дополнительные сведения см. в разделе Доверия лесов. | Отключено | Включено |
| Репликация связанного значения Дополнительные сведения см. в разделе Как работает репликация. | Отключено | Включено |
| Переименование доменов Дополнительные сведения см. в разделе Переименование доменов. | Отключено | Включено |
| Улучшенные алгоритмы репликации Active Directory Дополнительные сведения см. в разделе Общие сведения о репликации. | Отключено | Включено |
| Динамические дополнительные классы. Дополнительные сведения см. в разделе Новые возможности Active Directory. | Отключено | Включено |
| Изменение класса объектов InetOrgPerson Дополнительные сведения об объектах InetOrgPerson см. в разделе Учетные записи пользователей и компьютеров. | Отключено | Включено |