引用:(WS.10).aspx按功能级别启用的功能附录更新时间:2009年9月应用到:WindowsServer2008,WindowsServer2008R2以下各部分说明了在不同功能级别(包括WindowsServer2008R2的新域和林功能级别)可用的功能集。在域功能级别启用的功能下表显示了在每个域功能级别启用的功能。还显示了每个功能级别支持的域控制器的操作系统。重要事项在WindowsServer2008R2中,将域功能级别设置为某个值之后,就不能回滚或降低域功能级别,但有一种情况例外:当您将域功能级别提升到WindowsServer2008R2且林功能级别为WindowsServer2008或更低时,可以选择将域功能级别回滚到WindowsServer2008。只能将域功能级别从WindowsServer2008R2降到WindowsServer2008。例如,如果将域功能级别设置为WindowsServer2008R2,则无法将其回滚到WindowsServer2003。域功能级别启用的功能支持的域控制器操作系统Windows2000纯模式所有默认的ActiveDirectory功能及以下功能:为分发组和安全组启用的通用组。组嵌套。已启用组转换,可在安全组和分发组之间进行转换。安全标识符(SID)历史记录。WindowsServer2008R2WindowsServer2008WindowsServer2003Windows2000WindowsServer2003所有默认的ActiveDirectory功能、所有来自Windows2000纯模式域功能级别的功能,以及以下功能:准备要用于域控制器重命名的域管理工具Netdom.exe的可用性。更新登录时间戳。将使用用户或计算机的上次登录时间来更新WindowsServer2008R2WindowsServer2008WindowsServer2003lastLogonTimestamp属性。可以在域内复制该属性。在inetOrgPerson和用户对象上将userPassword属性设置为有效密码的功能。重定向用户和计算机容器的功能。默认情况下,已提供了两个已知的容器,用于容纳计算机和用户/组帐户:即cn=Computers,域根和cn=Users,域根。该功能可用于定义这些帐户新的已知位置。授权管理器能够将其授权策略存储在ActiveDirectory域服务(ADDS)中。包含受限制的委派,以便使应用程序可通过Kerberos身份验证协议充分利用用户凭据的安全委派。可以将委派配置为仅允许特定的目标服务。支持选择性的身份验证,通过它可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。WindowsServer2008所有默认的ActiveDirectory功能、所有来自WindowsServer2003域功能级别的功能,以及下列功能:SYSVOL的分布式文件系统(DFS)复制支持,可提供SYSVOL内容的更稳健更详细的复制。Kerberos身份验证协议的高级加密服务(AES128和256)支持。上次交互式登录信息,将显示用户上次成功交互式登录的时间、来自什么工作站,以及自上次登录失败的登录尝试次数。严格的密码策略(FGPP),这可以为域中的用户和全局安全组指定密码和帐户锁定策略。WindowsServer2008R2WindowsServer2008Windows所有默认的ActiveDirectory功能、所有来自Windows2000纯模WindowsServer2008R2式、WindowsServer2003和WindowsServer2008功能级别的功能,以及以下功能:身份验证机制保证,将对域用户进行身份验证所用的登录方法类型(智能卡或用户名/密码)相关信息封装在每个用户的Kerberos令牌中。如果在已部署联合身份管理基础结构(如ActiveDirectory联合身份验证服务(ADFS))的网络环境中启用此功能,则每当用户尝试访问已部署为根据用户登录方法确定是否授权的声明感知应用程序时,都会提取令牌中的信息。服务的自动SPN管理,适用于计算机帐户的名称或DNS主机名发生更改时,运行于特定计算机上托管服务帐户上下文下的服务。Server2008R2在林功能级别启用的功能下表显示了在每个林功能级别启用的功能。还显示了每个功能级别支持的域控制器的操作系统。重要事项在WindowsServer2008R2中,将林功能级别设置为某个值之后,就不能回滚或降低林功能级别,但有一种情况例外:当您将林功能级别提升到WindowsServer2008R2且没有启用ActiveDirectory回收站时,则可以选择将林功能级别回滚到WindowsServer2008。有关ActiveDirectory回收站的详细信息,请参阅ADDS中的新增功能:ActiveDirectory回收站(=141392)(可能为英文网页)。只能将林功能级别从WindowsServer2008R2降到WindowsServer2008。例如,如果将林功能级别设置为WindowsServer2008R2,则无法将其回滚到WindowsServer2003。林功能级别启用的功能支持的域控制器Windows2000所有默认的ActiveDirectory功能。WindowsServer2008R2WindowsServer2008WindowsServer2003Windows2000WindowsServer2003所有默认的ActiveDirectory功能及以下功能:WindowsServer2008R2林信任。域重命名。链接值复制(组成员身份中的更改为各个成员存储并复制值,而不是作为单个单位复制整个成员身份)。在不同域控制器中同时添加或删除不同成员时,这种更改可在复制期间占用更少的网络带宽并降低处理器使用率,同时消除丢失更新可能性。部署运行WindowsServer2008的只读域控制器(RODC)的功能。改进的知识一致性检查器(KCC)的算法和可伸缩性。站点间拓扑生成器(ISTG)使用改进的算法,可缩放以支持具有远远大于在Windows2000林功能级别上所支持站点的数量的林。改进的ISTG选择算法是一种在Windows2000林功能级别选择ISTG的入侵性较小的机制。改进的ISTG算法(更好的缩放ISTG用于连接林中所有站点的算法)。在域目录分区中创建动态辅助类(称为dynamicObject)的实例的功能。将inetOrgPerson对象实例转换为User对象实例的功能,反之亦然。创建新组(称为应用程序基本组和轻型目录访问协议(LDAP)查询组)类型的实例以支持基于角色的身份验证的功能。在架构中停用并重新定义属性和类别。WindowsServer2008WindowsServer2003WindowsServer2008WindowsServer2003林功能级别上可用的所有功能,但不包括任何其他功能。但在默认情况下,随后添加到林的所有域,将在WindowsServer2008域功能级别进行操作。WindowsServer2008R2WindowsServer2008WindowsServer2008R2WindowsServer2003林功能级别上可用的所有功能,以及下列功能:ActiveDirectory回收站,提供在运行ActiveDirectory域服务(ADDS)时还原整个已删除对象的功能。在默认情况下,随后添加到林的所有域都将以WindowsServer2008R2域功能级别运行。如果计划仅包括在整个林中运行WindowsServer2008R2的域控制器,则为便于进行管理可以选择此林功能级别。如果这样做,您将永远不必为在林中创建的每个域提升域功能级别。WindowsServer2008R2