Windows 2003 изменить режим работы леса

Изменение режима работы домена.

Режимы работы домена

Домен, реализованный в Active Directory Windows Server 2003 может работать в четырех режимах: Windows 2000 Mixed (смешанный режим), Windows 2000 Native (основной режим), Windows Server 2003 Interim (промежуточный Windows Server 2003) и Windows Server 2003. После установки Active Directory всегда работает в смешанном режиме. Переключение в основной режим может потребоваться при необходимости использовать все новые возможности, заложенные в Active Directory.

Смешанный режим Windows 2000

Смешанный режим работы Active Directory позволяет использовать в домене контроллеры не только под управлением Windows Server 2003 / Windows 2000, но и под управлением Windows NT 3.51 или 4.0. В этом режиме контроллер под управлением Windows Server 2003 / Windows 2000 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена. Домен, работающий в смешанном режиме, необходим любому клиенту, использующему службу каталога Windows NT и NTLM для аутентификации. Кроме того, для разрешения имен для таких клиентов на сервере должна быть установлена служба WINS. Выполнение этих функций создает дополнительную нагрузку на сервер Windows Server 2003.

Основной режим Windows 2000

Основной режим работы Active Directory позволяет использовать в домене контроллеры только под управлением Windows Server 2003 и Windows 2000. В этом режиме все контроллеры домена являются равноправными и изменения могут вноситься на любом из них. Для нормального функционирования домена не требуется служба WINS. Домен Windows Server 2003 / Windows 2000 в основном режиме нормально поддерживает работу любых Windows-клиентов (Windows 9x, NT, 2000, XP). Если вы используете в качестве контроллеров домена только серверы Windows Server 2003 и/или Windows 2000, рекомендуется перевести домен в основной режим — это значительно снизит нагрузку на контроллеры домена и добавит много новых возможностей по управлению доменом.

Промежуточный режим Windows Server 2003

Промежуточный режим работы Active Directory позволяет использовать в домене контроллеры под управлением Windows Server 2003 и Windows NT 4.0. В этом режиме, как и в смешанном, контроллер под управлением Windows Server 2003 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена.

Режим Windows Server 2003

Режим работы Windows Server 2003 позволяет использовать в домене только контроллеры только под управлением семейства Windows Server 2003. При повышении режима работы домена до Windows Server 2003, становятся доступны дополнительные возможности Active Directory.

Для переключения режима работы домена щелкните правой кнопкой мышки по имени домена в консоли Active Directory — домены и доверие и в контекстном меню выберите Изменение режима работы домена. В открывшемся окне отображается текущий режим работы домена. В поле со списком Выберите режим работы домена выберите необходимый режим и нажмите кнопку Изменить.

Для окончания операции переключения режима работы домена может потребоваться до 15 минут — все необходимые изменения должны быть реплицированы на все контроллеры домена.

Вы не обязаны переводить все домены в дереве в основной режим: часть доменов может работать в смешанном режиме. Однако наиболее полно возможности Active Directory будут реализованы, только если все домены дерева и леса будут работать в основном режиме.

Операция переключения режима работы домена является необратимой. Нельзя переключить домен в режим более низкого уровня (например, из основного режима в смешанный).

После повышения режима работы домена добавление контроллеров домена, работающих под управлением более ранних операционных систем, невозможно. Например, если повысить режим работы домена до Windows Server 2003, в этот домен нельзя будет добавить контроллеры домена, работающие под управлением Windows 2000 Server.

В следующей таблице описаны функциональные возможности доменов.

Windows 2003 изменить режим работы леса

Как узнать режим работы леса и режим работы домена Active Directory-01

Всем привет сегодня хочу рассказать как узнать режим работы леса и режим работы домена Active Directory. Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory. Они также определяют версии операционных систем Windows Server, которые можно использовать на контроллерах домена в домене или в лесу. Но режимы работы не влияют на то, какие операционные системы могут использоваться на рабочих станциях и рядовых серверах, присоединенных к домену или лесу. При развертывании доменных служб Active Directory установите высшие режимы работы домена и леса, которые поддерживаются в используемой среде. Это позволит пользоваться максимальным количеством возможностей доменных служб службы Active Directory. Какие именно возможности это дает мы рассмотрим в следующих статьях.

Для того чтобы нам посмотреть нужную нам информацию есть два способа графический и через powershell, мы рассмотрим оба.

Как узнать режим работы домена Active Directory через оснастку ADUC

Открываем оснастку пользователи и компьютеры, делается это через Пуск-Администрирование или ввод в меню Выполнить команды dsa.mac

Как узнать режим работы леса и режим работы домена Active Directory-02

Щелкаем правым кликом по вашему домену и выбираем Повысить режим работы домена

Как узнать режим работы леса и режим работы домена Active Directory-03

И видим что текущий режим Windows Server 2008 R2.

Как узнать режим работы леса и режим работы домена Active Directory-04

Как узнать режим работы леса и режим работы домена Active Directory через оснастку домены и доверие

Открываем оснастку домены и доверие через меню пуск-Администрирование, либо в меню выполнить введите domain.msc.

Как узнать режим работы леса и режим работы домена Active Directory-05

Щелкаем правым кликом по Active Directory — домены и доверие и из контекстного меню выбираем Изменить режим работы леса

Как узнать режим работы леса и режим работы домена Active Directory-06

и видим что лес работает в режиме Windows Server 2008 R2.

Как узнать режим работы леса и режим работы домена Active Directory-07

Если щелкнуть правым кликом там же но по домену и выбрать изменение режима работы домена, то вы так же увидите в каком режиме работает ваш домен.

Как узнать режим работы леса и режим работы домена Active Directory-08

Как узнать режим работы леса и режим работы домена Active Directory через powershell

Для этого дела у Microsoft естественно есть свои командлеты. Для начала давайте откроем powershell от имени администратор через правый кликом и посмотрим список доступных модулей powershell с помощью команды

Если среди них нет модуля Active Directory то он устанавливается командой

И загружаем модуль Active Directory с помощью команды

Как узнать режим работы леса и режим работы домена Active Directory-09

Для вывода информации по домену мы вводим команду, и в поле DomainMode видим что это уровень Windows Server 2008 R2.

Как узнать режим работы леса и режим работы домена Active Directory-10

Для вывода информации по лесу мы вводим команду. и в поле ForestMode видим что это уровень Windows Server 2008 R2.

Как узнать режим работы леса и режим работы домена Active Directory-11

Вот так вот просто узнать режим работы леса и режим работы домена Active Directory через оснастки и командную строку.

Режимы работы леса и домена Forest and Domain Functional Levels

Область применения. Windows Server Applies To: Windows Server

Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory (AD DS). Functional levels determine the available Active Directory Domain Services (AD DS) domain or forest capabilities. Они также определяют, какие операционные системы Windows Server можно запускать на контроллерах домена в домене или лесу. They also determine which Windows Server operating systems you can run on domain controllers in the domain or forest. Однако режимы работы не влияют на то, какие операционные системы можно запускать на рабочих станциях и рядовых серверах, которые присоединены к домену или лесу. However, functional levels do not affect which operating systems you can run on workstations and member servers that are joined to the domain or forest.

При развертывании AD DS задайте для режимов работы домена и леса самое высокое значение, которое может поддерживать среда. When you deploy AD DS, set the domain and forest functional levels to the highest value that your environment can support. Так вы сможете использовать максимальное количество функций AD DS. This way, you can use as many AD DS features as possible. При развертывании нового леса будет предложено задать его режим работы, а затем задать режим работы домена. When you deploy a new forest, you are prompted to set the forest functional level and then set the domain functional level. Для режима работы домена можно установить значение, превышающее значение режима работы леса. Однако для него нельзя задать значение, которое будет ниже значения режима работы леса. You can set the domain functional level to a value that is higher than the forest functional level, but you cannot set the domain functional level to a value that is lower than the forest functional level.

После прекращения поддержки Windows Server 2003, 2008 и 2008 R2 эти контроллеры доменов необходимо будет обновить до Windows Server 2012, 2012 R2, 2016 или 2019. With the end of life of Windows Server 2003, 2008, and 2008 R2, these domain controllers (DCs) need to be updated to Windows Server 2012, 2012 R2, 2016, or 2019. В результате все контроллеры домена, работающие под управлением Windows Server 2008 R2 и более старых версий, необходимо удалить из домена. As a result, any domain controller that runs Windows Server 2008 R2 and older should be removed from the domain.

В режимах работы домена Windows Server 2008 и более новых версий для репликации содержимого папки SYSVOL между контроллерами домена используется репликация службы распределенных файловых систем (DFS). At the Windows Server 2008 and higher domain functional levels, Distributed File Service (DFS) Replication is used to replicate SYSVOL folder contents between domain controllers. Если вы создаете домен в режиме работы домена Windows Server 2008 или более новых версий, для репликации SYSVOL автоматически используется репликация DFS. If you create a new domain at the Windows Server 2008 domain functional level or higher, DFS Replication is automatically used to replicate SYSVOL. Если вы создаете домен в более низком режиме работы, необходимо перейти от репликации FRS к DFS для SYSVOL. If you created the domain at a lower functional level, you will need to migrate from using FRS to DFS replication for SYSVOL. Чтобы выполнить переход, можно следовать инструкциям в TechNet или ознакомиться с упрощенным набором шагов в блоге Microsoft File Cabinet группы разработчиков хранилища. For migration steps, you can either follow the procedures on TechNet or you can refer to the streamlined set of steps on the Storage Team File Cabinet blog. Windows Server 2016 RS1 — это последний выпуск Windows Server с FRS. Windows Server 2016 RS1 is the last Windows Server release that includes FRS.

Windows Server 2019 Windows Server 2019

В этом выпуске нет новых режимов работы леса или домена. There are no new forest or domain functional levels added in this release.

Минимальным требованием для добавления контроллера домена Windows Server 2019 является режим работы Windows Server 2008. The minimum requirement to add a Windows Server 2019 Domain Controller is a Windows Server 2008 functional level. В домене также должна использоваться репликация DFS в качестве подсистемы для репликации SYSVOL. The domain also has to use DFS-R as the engine to replicate SYSVOL.

Windows Server 2016 Windows Server 2016

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2019 Windows Server 2019
• Windows Server 2016 Windows Server 2016

Функции режима работы леса Windows Server 2016 Windows Server 2016 forest functional level features

• Доступны все функции, доступные в режиме работы леса Windows Server 2012 R2, а также: All of the features that are available at the Windows Server 2012R2 forest functional level, and the following features, are available:
  • Privileged Access Management (PAM) с использованием Microsoft Identity Manager (MIM) Privileged access management (PAM) using Microsoft Identity Manager (MIM)

Функции режима работы домена Windows Server 2016 Windows Server 2016 domain functional level features

Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2012 R2, а также: All default Active Directory features, all features from the Windows Server 2012R2 domain functional level, plus the following features:

Контроллеры домена могут поддерживать автоматический откат протокола NTLM и другие секреты на основе пароля для учетной записи пользователя, настроенной для требования проверки подлинности с использованием PKI. DCs can support automatic rolling of the NTLM and other password-based secrets on a user account configured to require PKI authentication. Эта конфигурация также называется «Запрашивать смарт-карту для интерактивного входа в систему». This configuration is also known as «Smart card required for interactive logon»

Контроллеры домена могут поддерживать проверку сети по протоколу NTLM, если пользователю разрешен доступ только с определенных устройств, присоединенных к домену. DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices.

После успешной проверки подлинности с помощью расширения PKInit Freshness клиенты Kerberos получат свежий идентификатор безопасности для удостоверения открытого ключа. Kerberos clients successfully authenticating with the PKInit Freshness Extension will get the fresh public key identity SID.

Дополнительные сведения см. в статьях What’s New in Kerberos Authentication (Новые возможности проверки подлинности Kerberos) и What’s new in Credential Protection (Новые возможности защиты учетных данных). For more information see What’s New in Kerberos Authentication and What’s new in Credential Protection

Windows Server 2012 R2 Windows Server 2012R2

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2019 Windows Server 2019
• Windows Server 2016 Windows Server 2016
• Windows Server 2012 R2 Windows Server 2012 R2

Функции режима работы леса Windows Server 2012 R2 Windows Server 2012R2 forest functional level features

• Этот режим работы предоставляет все функции, доступные в режиме работы леса Windows Server 2012, но не дополнительные функции. All of the features that are available at the Windows Server 2012 forest functional level, but no additional features.

Функции режима работы домена Windows Server 2012 R2 Windows Server 2012R2 domain functional level features

• Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2012, а также: All default Active Directory features, all features from the Windows Server 2012 domain functional level, plus the following features:
  • Защита со стороны контроллера домена для защищенных пользователей. DC-side protections for Protected Users. Защищенные пользователи, которые выполняют проверку подлинности в домене Windows Server 2012 R2, больше не могут: Protected Users authenticating to a Windows Server 2012 R2 domain can no longer:
    • проходить проверку подлинности с помощью проверки подлинности NTLM; Authenticate with NTLM authentication
    • использовать наборы шифров DES и RC4 в предварительной проверке подлинности Kerberos; Use DES or RC4 cipher suites in Kerberos pre-authentication
    • делегироваться в рамках неограниченного или ограниченного делегирования; Be delegated with unconstrained or constrained delegation
    • выполнять продление пользовательских билетов (TGT) и использовать их более 4 часов. Renew user tickets (TGTs) beyond the initial 4 hour lifetime
  • Политики проверки подлинности Authentication Policies
    • Новые политики Active Directory на основе леса, которые могут применяться к учетным записям в доменах Windows Server 2012 R2 для определения узлов, из которых учетная запись может выполнять вход, и применения условий управления доступом для проверки подлинности служб, запущенных через учетную запись. New forest-based Active Directory policies which can be applied to accounts in Windows Server 2012 R2 domains to control which hosts an account can sign-on from and apply access control conditions for authentication to services running as an account.
  • Приемники команд политик проверки подлинности Authentication Policy Silos
    • Новый объект Active Directory на основе леса, который может создать связь между пользователем, управляемой службой и компьютером, учетными записями, которые будут использоваться для классификации учетных записей для политик или изоляции проверки подлинности. New forest-based Active Directory object, which can create a relationship between user, managed service and computer, accounts to be used to classify accounts for authentication policies or for authentication isolation.

Windows Server 2012 Windows Server 2012

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2019 Windows Server 2019
• Windows Server 2016 Windows Server 2016
• Windows Server 2012 R2 Windows Server 2012 R2
• Windows Server 2012 Windows Server 2012

Функции режима работы леса Windows Server 2012 Windows Server 2012 forest functional level features

• Этот режим работы предоставляет все функции, доступные в режиме работы леса Windows Server 2008 R2, но не дополнительные функции. All of the features that are available at the Windows Server 2008 R2 forest functional level, but no additional features.

Функции режима работы домена Windows Server 2012 Windows Server 2012 domain functional level features

• Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2008 R2, а также: All default Active Directory features, all features from the Windows Server 2008R2 domain functional level, plus the following features:
  • Поддержка KDC-утверждений, комплексной проверки подлинности и политика административных шаблонов KDC защиты Kerberos имеет два параметра («Всегда предоставлять утверждения» и «Отклонять запросы проверки подлинности без защиты»), требующие режима работы домена Windows Server 2012. The KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. Дополнительную информацию см. в статье What’s New in Kerberos Authentication (Новые возможности проверки подлинности Kerberos). For more information, see What’s New in Kerberos Authentication

Windows Server 2008 R2 Windows Server 2008R2

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2019 Windows Server 2019
• Windows Server 2016 Windows Server 2016
• Windows Server 2012 R2 Windows Server 2012 R2
• Windows Server 2012 Windows Server 2012
• Windows Server 2008 R2 Windows Server 2008 R2

Функции режима работы леса Windows Server 2008 R2 Windows Server 2008R2 forest functional level features

• Все возможности, доступные в режиме работы леса Windows Server 2003, плюс следующие возможности: All of the features that are available at the Windows Server 2003 forest functional level, plus the following features:
  • Корзина Active Directory, позволяющая восстанавливать удаленные объекты во время выполнения AD DS. Active Directory Recycle Bin, which provides the ability to restore deleted objects in their entirety while AD DS is running.

Функции режима работы домена Windows Server 2008 R2 Windows Server 2008R2 domain functional level features

• Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2008, а также: All default Active Directory features, all features from the Windows Server 2008 domain functional level, plus the following features:
  • Контроль механизма проверки подлинности, добавляющий в пакет сведения о способе входа в систему (смарт-карта или имя пользователя и пароль), который используется для проверки подлинности пользователей домена в маркере Kerberos каждого пользователя. Authentication mechanism assurance, which packages information about the type of logon method (smart card or user name/password) that is used to authenticate domain users inside each user’s Kerberos token. Если эта функция включена в сетевой среде, в которой развернута инфраструктура управления федеративными удостоверениями, например службы федерации Active Directory (AD FS), то данные маркера могут извлекаться при каждой попытке доступа пользователя к поддерживающим утверждения приложениям, которые были разработаны для определения авторизации на основе способа входа пользователя в систему. When this feature is enabled in a network environment that has deployed a federated identity management infrastructure, such as Active Directory Federation Services (AD FS), the information in the token can then be extracted whenever a user attempts to access any claims-aware application that has been developed to determine authorization based on a user’s logon method.
  • Автоматическое управление именем субъекта-службы для служб, запущенных на определенном компьютере в контексте управляемой учетной записи службы при изменении имени или имени узла DNS-сервера учетной записи компьютера. Automatic SPN management for services running on a particular computer under the context of a Managed Service Account when the name or DNS host name of the machine account changes. Дополнительные сведения об управляемых учетных записях службы см. в статье Service Accounts Step-by-Step Guide (Пошаговое руководство по учетным записям служб). For more information about Managed Service Accounts, see Service Accounts Step-by-Step Guide.

Windows Server 2008 Windows Server 2008

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2019 Windows Server 2019
• Windows Server 2016 Windows Server 2016
• Windows Server 2012 R2 Windows Server 2012 R2
• Windows Server 2012 Windows Server 2012
• Windows Server 2008 R2 Windows Server 2008 R2
• Windows Server 2008 Windows Server 2008

Функции режима работы леса Windows Server 2008 Windows Server 2008 forest functional level features

• Этот режим работы предоставляет все функции, доступные при режиме работы леса Windows Server 2003, но не имеет дополнительных функций. All of the features that are available at the Windows Server 2003 forest functional level, but no additional features are available.

Функции режима работы домена Windows Server 2008 Windows Server 2008 domain functional level features

Доступны все функции AD DS по умолчанию, все функции из режима работы домена Windows Server 2003, а также: All of the default AD DS features, all of the features from the Windows Server 2003 domain functional level, and the following features are available:

Поддержка репликации распределенной файловой системы (DFS) для системного тома Windows Server 2003 (SYSVOL). Distributed File System (DFS) replication support for the Windows Server 2003 System Volume (SYSVOL)

Поддержка репликации DFS обеспечивает более надежную и управляемую репликацию содержимого SYSVOL. DFS replication support provides more robust and detailed replication of SYSVOL contents.

Начиная с Windows Server 2012 R2, служба репликации файлов (FRS) не рекомендуется к использованию. Beginning with Windows Server 2012 R2, File Replication Service (FRS) is deprecated. Для нового домена, созданного на контроллере домена под управлением Windows Server 2012 R2 (не ниже), должен быть установлен режим работы домена Windows Server 2008 или выше. A new domain that is created on a domain controller that runs at least Windows Server 2012 R2 must be set to the Windows Server 2008 domain functional level or higher.

Пространства имен DFS на основе домена, работающие в режиме Windows Server 2008, включая поддержку перечисления на основе доступа и повышенную масштабируемость. Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Для пространств имен на основе домена в режиме Windows Server 2008 также требуется, чтобы лес использовал режим работы леса Windows Server 2003. Domain-based namespaces in Windows Server 2008 mode also require the forest to use the Windows Server 2003 forest functional level. Дополнительные сведения см. в статье Choose a Namespace Type (Выбор типа пространства имен). For more information, see Choose a Namespace Type.

Поддержка алгоритма AES (AES 128 и AES 256) для протокола Kerberos. Advanced Encryption Standard (AES 128 and AES 256) support for the Kerberos protocol. Чтобы TGT выдавался с помощью AES, режим работы домена должен быть Windows Server 2008 или выше, а пароль домена необходимо изменить. In order for TGTs to be issued using AES, the domain functional level must be Windows Server 2008 or higher and the domain password needs to be changed.

Дополнительные сведения см. в статье Kerberos Enhancements (Дополнительные возможности Kerberos). For more information, see Kerberos Enhancements.

При повышении режима работы домена до Windows Server 2008 или выше на контроллере домена могут возникать ошибки проверки подлинности, если он уже выполнил репликацию изменения DFL, но еще не обновил пароль KRBTGT. Authentication errors may occur on a domain controller after the domain functional level is raised to Windows Server 2008 or higher if the domain controller has already replicated the DFL change but has not yet refreshed the krbtgt password. В данном случае при перезапуске службы KDC на контроллере домена будет запущено обновление нового пароля KRBTGT в памяти и устранены связанные ошибки проверки подлинности. In this case, a restart of the KDC service on the domain controller will trigger an in-memory refresh of the new krbtgt password and resolve related authentication errors.

В данных о последнем интерактивном входе в систему приведены следующие сведения: Last Interactive Logon Information displays the following information:

• Общее количество неудачных попыток входа на сервер Windows Server 2008, присоединенный к домену, или рабочую станцию Windows Vista. The total number of failed logon attempts at a domain-joined Windows Server 2008 server or a Windows Vista workstation
• Общее количество неудачных попыток входа после удачного входа на сервер Windows Server 2008 или рабочую станцию Windows Vista. The total number of failed logon attempts after a successful logon to a Windows Server 2008 server or a Windows Vista workstation
• Время последней неудачной попытки входа на Windows Server 2008 или рабочую станцию Windows Vista. The time of the last failed logon attempt at a Windows Server 2008 or a Windows Vista workstation
• Время последней удачной попытки входа на сервер Windows Server 2008 или рабочую станцию Windows Vista. The time of the last successful logon attempt at a Windows Server 2008 server or a Windows Vista workstation

Детальные политики паролей позволяют задавать политики паролей и политики блокирования учетных записей для пользователей и глобальных групп безопасности в домене. Fine-grained password policies make it possible for you to specify password and account lockout policies for users and global security groups in a domain. Дополнительные сведения см. в статье AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide (Пошаговое руководство по детальной настройке политик блокировки учетных записей и паролей доменных служб Active Directory). For more information, see Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration.

Личные виртуальные рабочие столы Personal Virtual Desktops

• Чтобы использовать добавленные функции, предоставляемые на вкладке «Личный виртуальный рабочий стол» в диалоговом окне User Account Properties (Свойства учетной записи пользователя) в оснастке «Пользователи и компьютеры Active Directory», схема AD DS должна быть расширена для Windows Server 2008 R2 (версия объекта схемы = 47). To use the added functionality provided by the Personal Virtual Desktop tab in the User Account Properties dialog box in Active Directory Users and Computers, your AD DS schema must be extended for Windows Server 2008 R2 (schema object version = 47). Дополнительные сведения см. в статье Deploying Personal Virtual Desktops by Using RemoteApp and Desktop Connection Step-by-Step Guide (Пошаговое руководство по развертыванию личных виртуальных рабочих столов с помощью подключения к удаленным рабочим столам и приложениям RemoteApp). For more information, see Deploying Personal Virtual Desktops by Using RemoteApp and Desktop Connection Step-by-Step Guide.

Windows Server 2003 Windows Server 2003

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2016 Windows Server 2016
• Windows Server 2012 R2 Windows Server 2012 R2
• Windows Server 2012 Windows Server 2012
• Windows Server 2008 R2 Windows Server 2008 R2
• Windows Server 2008 Windows Server 2008
• Windows Server 2003 Windows Server 2003

Функции режима работы леса Windows Server 2003 Windows Server 2003 forest functional level features

• Доступны все функции AD DS по умолчанию, а также: All of the default AD DS features, and the following features, are available:
  • Доверие леса Forest trust
  • переименование домена. Domain rename
  • Репликация связанного значения. Linked-value replication
    • Репликация связанного значения позволяет изменить членство в группах для хранения и репликации значений отдельных участников вместо репликации всего членства как отдельного элемента. Linked-value replication makes it possible for you to change group membership to store and replicate values for individual members instead of replicating the entire membership as a single unit. Хранение и репликация значений отдельных участников использует меньше пропускной способности сети и уменьшает количество циклов процессора во время репликации, а также предотвращает потерю обновлений при одновременном добавлении или удалении нескольких участников на разных контроллерах домена. Storing and replicating the values of individual members uses less network bandwidth and fewer processor cycles during replication, and prevents you from losing updates when you add or remove multiple members concurrently at different domain controllers.
  • Возможность развертывания контроллера домена только для чтения (RODC). The ability to deploy a read-only domain controller (RODC)
  • Улучшенные алгоритмы и масштабируемость проверки согласованности знаний (KCC). Improved Knowledge Consistency Checker (KCC) algorithms and scalability
    • Генератор межсайтовой топологии (ISTG) использует улучшенные алгоритмы, масштабируемые для поддержки лесов с увеличенным количеством сайтов, чем может поддерживать AD DS в режиме работы леса Windows 2000. The intersite topology generator (ISTG) uses improved algorithms that scale to support forests with a greater number of sites than AD DS can support at the Windows 2000 forest functional level. Улучшенный алгоритм выборов ISTG является механизмом выбора ISTG с меньшим уровнем вмешательства в режиме работы леса Windows 2000. The improved ISTG election algorithm is a less-intrusive mechanism for choosing the ISTG at the Windows 2000 forest functional level.
  • Возможность создания экземпляров динамического вспомогательного класса, называемых dynamicObject, в разделе каталога домена. The ability to create instances of the dynamic auxiliary class named dynamicObject in a domain directory partition
  • Возможность преобразования экземпляра объекта inetOrgPerson в экземпляр объекта User, а также завершения преобразования в обратном направлении. The ability to convert an inetOrgPerson object instance into a User object instance, and to complete the conversion in the opposite direction
  • Возможность создавать экземпляры новых типов групп для поддержки авторизации на основе ролей. The ability to create instances of new group types to support role-based authorization.
    • Эти типы называются основными группами приложений и группами запросов протокола LDAP. These types are called application basic groups and LDAP query groups.
  • деактивация и переопределение атрибутов и классов схемы. Deactivation and redefinition of attributes and classes in the schema. Следующие атрибуты можно использовать повторно: ldapDisplayName, schemaIdGuid, OID и mapiID. The following attributes can be reused: ldapDisplayName, schemaIdGuid, OID, and mapiID.
  • Пространства имен DFS на основе домена, работающие в режиме Windows Server 2008, включая поддержку перечисления на основе доступа и повышенную масштабируемость. Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Дополнительные сведения см. в статье Choose a Namespace Type (Выбор типа пространства имен). For more information, see Choose a Namespace Type.

Функции режима работы домена Windows Server 2003 Windows Server 2003 domain functional level features

• Доступны все функции AD DS по умолчанию, все функции основного режима Windows 2000 для режима работы домена, а также следующие функции. All the default AD DS features, all the features that are available at the Windows 2000 native domain functional level, and the following features are available:
  • Средство управления доменом Netdom.exe, позволяющее переименовывать контроллеры домена. The domain management tool, Netdom.exe, which makes it possible for you to rename domain controllers
  • Обновления метки времени входа. Logon time stamp updates
    • Атрибут lastLogonTimestamp обновляется с учетом времени последнего входа пользователя или компьютера. The lastLogonTimestamp attribute is updated with the last logon time of the user or computer. (этот атрибут реплицируется внутри домена); This attribute is replicated within the domain.
  • Возможность задания атрибута userPassword в качестве эффективного пароля для объекта inetOrgPerson и объектов пользователей. The ability to set the userPassword attribute as the effective password on inetOrgPerson and user objects
  • Возможность перенаправления контейнеров пользователей и компьютеров. The ability to redirect Users and Computers containers
    • По умолчанию для размещения учетных записей компьютеров и пользователей или групп предоставляются два известных контейнера, а именно cn=Computers, и cn=Users,. By default, two well-known containers are provided for housing computer and user accounts, namely, cn=Computers, and cn=Users,. Данная функция позволяет определять для этих учетных записей новое известное местоположение. This feature allows the definition of a new, well-known location for these accounts.
  • Возможность диспетчера авторизации хранить свои политики авторизации в службе AD DS. The ability for Authorization Manager to store its authorization policies in AD DS
  • Ограниченное делегирование Constrained delegation
    • Ограниченное делегирование позволяет приложениям использовать безопасное делегирование учетных данных пользователей с помощью проверки подлинности на основе Kerberos. Constrained delegation makes it possible for applications to take advantage of the secure delegation of user credentials by means of Kerberos-based authentication.
    • Делегирование можно включить только для конкретных служб назначения. You can restrict delegation to specific destination services only.
  • Выборочная проверка подлинности Selective authentication
    • Выборочная проверка подлинности позволяет задать пользователей и группы из доверенного леса, которым разрешена проверка подлинности на серверах ресурсов в доверяющем лесу. Selective authentication makes it is possible for you to specify the users and groups from a trusted forest who are allowed to authenticate to resource servers in a trusting forest.

Windows 2000 Windows 2000

Поддерживаемые операционные системы контроллера домена: Supported Domain Controller Operating System:

• Windows Server 2008 R2 Windows Server 2008 R2
• Windows Server 2008 Windows Server 2008
• Windows Server 2003 Windows Server 2003
• Windows 2000 Windows 2000