Режимы работы леса и домена

Область применения: Windows Server 2022, Windows Server 2019, Windows Server

Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory (AD DS). Они также определяют, какие операционные системы Windows Server можно запускать на контроллерах домена в домене или лесу. Однако режимы работы не влияют на то, какие операционные системы можно запускать на рабочих станциях и рядовых серверах, которые присоединены к домену или лесу.

При развертывании AD DS задайте для режимов работы домена и леса самое высокое значение, которое может поддерживать среда. Так вы сможете использовать максимальное количество функций AD DS. При развертывании нового леса будет предложено задать его режим работы, а затем задать режим работы домена. Для режима работы домена можно установить значение, превышающее значение режима работы леса. Однако для него нельзя задать значение, которое будет ниже значения режима работы леса.

После прекращения поддержки Windows Server 2003, 2008 и 2008 R2 эти контроллеры доменов необходимо будет обновить до Windows Server 2012, 2012 R2, 2016 или 2019. В результате все контроллеры домена, работающие под управлением Windows Server 2008 R2 и более старых версий, необходимо удалить из домена.

В режимах работы домена Windows Server 2008 и более новых версий для репликации содержимого папки SYSVOL между контроллерами домена используется репликация службы распределенных файловых систем (DFS). Если вы создаете домен в режиме работы домена Windows Server 2008 или более новых версий, для репликации SYSVOL автоматически используется репликация DFS. Если вы создаете домен в более низком режиме работы, необходимо перейти от репликации FRS к DFS для SYSVOL. Чтобы выполнить переход, можно следовать инструкциям в TechNet или ознакомиться с упрощенным набором шагов в блоге Microsoft File Cabinet группы разработчиков хранилища. Windows Server 2016 RS1 — это последний выпуск Windows Server с FRS.

Windows Server 2019

В этом выпуске нет новых режимов работы леса или домена.

Минимальным требованием для добавления контроллера домена Windows Server 2019 является режим работы Windows Server 2008. В домене также должна использоваться репликация DFS в качестве подсистемы для репликации SYSVOL.

Windows Server 2016

Поддерживаемые операционные системы контроллера домена:

  • Windows Server 2019
  • Windows Server 2016

Функции режима работы леса Windows Server 2016

Функции режима работы домена Windows Server 2016

  • Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2012 R2, а также:
    • Контроллеры домена могут поддерживать автоматический откат протокола NTLM и другие секреты на основе пароля для учетной записи пользователя, настроенной для требования проверки подлинности с использованием PKI. Эта конфигурация также называется "Запрашивать смарт-карту для интерактивного входа в систему".

    • Контроллеры домена могут поддерживать проверку сети по протоколу NTLM, если пользователю разрешен доступ только с определенных устройств, присоединенных к домену.

    • После успешной проверки подлинности с помощью расширения PKInit Freshness клиенты Kerberos получат свежий идентификатор безопасности для удостоверения открытого ключа.

      Дополнительные сведения см. в статьях What's New in Kerberos Authentication (Новые возможности проверки подлинности Kerberos) и What's new in Credential Protection (Новые возможности защиты учетных данных).

Windows Server 2012 R2

Поддерживаемые операционные системы контроллера домена:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Функции режима работы леса Windows Server 2012 R2

  • Этот режим работы предоставляет все функции, доступные в режиме работы леса Windows Server 2012, но не дополнительные функции.

Функции режима работы домена Windows Server 2012 R2

  • Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2012, а также:
    • Защита со стороны контроллера домена для защищенных пользователей. Защищенные пользователи, которые выполняют проверку подлинности в домене Windows Server 2012 R2, больше не могут:
      • проходить проверку подлинности с помощью проверки подлинности NTLM;
      • использовать наборы шифров DES и RC4 в предварительной проверке подлинности Kerberos;
      • делегироваться в рамках неограниченного или ограниченного делегирования;
      • выполнять продление пользовательских билетов (TGT) и использовать их более 4 часов.
    • Политики проверки подлинности
      • Новые политики Active Directory на основе леса, которые могут применяться к учетным записям в доменах Windows Server 2012 R2 для определения узлов, из которых учетная запись может выполнять вход, и применения условий управления доступом для проверки подлинности служб, запущенных через учетную запись.
    • Приемники команд политик проверки подлинности
      • Новый объект Active Directory на основе леса, который может создать связь между пользователем, управляемой службой и компьютером, учетными записями, которые будут использоваться для классификации учетных записей для политик или изоляции проверки подлинности.

Windows Server 2012

Поддерживаемые операционные системы контроллера домена:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012

Функции режима работы леса Windows Server 2012

  • Этот режим работы предоставляет все функции, доступные в режиме работы леса Windows Server 2008 R2, но не дополнительные функции.

Функции режима работы домена Windows Server 2012

  • Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2008 R2, а также:
    • Поддержка KDC-утверждений, комплексной проверки подлинности и политика административных шаблонов KDC защиты Kerberos имеет два параметра ("Всегда предоставлять утверждения" и "Отклонять запросы проверки подлинности без защиты"), требующие режима работы домена Windows Server 2012. Дополнительную информацию см. в статье What's New in Kerberos Authentication (Новые возможности проверки подлинности Kerberos).

Windows Server 2008 R2

Поддерживаемые операционные системы контроллера домена:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Функции режима работы леса Windows Server 2008 R2

  • Все возможности, доступные в режиме работы леса Windows Server 2003, плюс следующие возможности:
    • Корзина Active Directory, позволяющая восстанавливать удаленные объекты во время выполнения AD DS.

Функции режима работы домена Windows Server 2008 R2

  • Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2008, а также:
    • Контроль механизма проверки подлинности, добавляющий в пакет сведения о способе входа в систему (смарт-карта или имя пользователя и пароль), который используется для проверки подлинности пользователей домена в маркере Kerberos каждого пользователя. Если эта функция включена в сетевой среде, в которой развернута инфраструктура управления федеративными удостоверениями, например службы федерации Active Directory (AD FS), то данные маркера могут извлекаться при каждой попытке доступа пользователя к поддерживающим утверждения приложениям, которые были разработаны для определения авторизации на основе способа входа пользователя в систему.
    • Автоматическое управление именем субъекта-службы для служб, запущенных на определенном компьютере в контексте управляемой учетной записи службы при изменении имени или имени узла DNS-сервера учетной записи компьютера. Дополнительные сведения об управляемых учетных записях службы см. в статье Service Accounts Step-by-Step Guide (Пошаговое руководство по учетным записям служб).

Windows Server 2008

Поддерживаемые операционные системы контроллера домена:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008

Функции режима работы леса Windows Server 2008

  • Этот режим работы предоставляет все функции, доступные при режиме работы леса Windows Server 2003, но не имеет дополнительных функций.

Функции режима работы домена Windows Server 2008

  • Доступны все функции AD DS по умолчанию, все функции из режима работы домена Windows Server 2003, а также:
    • Поддержка репликации распределенной файловой системы (DFS) для системного тома Windows Server 2003 (SYSVOL).

      • Поддержка репликации DFS обеспечивает более надежную и управляемую репликацию содержимого SYSVOL.

        Примечание

        Начиная с Windows Server 2012 R2, служба репликации файлов (FRS) не рекомендуется к использованию. Для нового домена, созданного на контроллере домена под управлением Windows Server 2012 R2 (не ниже), должен быть установлен режим работы домена Windows Server 2008 или выше.

    • Пространства имен DFS на основе домена, работающие в режиме Windows Server 2008, включая поддержку перечисления на основе доступа и повышенную масштабируемость. Для пространств имен на основе домена в режиме Windows Server 2008 также требуется, чтобы лес использовал режим работы леса Windows Server 2003. Дополнительные сведения см. в статье Choose a Namespace Type (Выбор типа пространства имен).

    • Поддержка алгоритма AES (AES 128 и AES 256) для протокола Kerberos. Чтобы TGT выдавался с помощью AES, режим работы домена должен быть Windows Server 2008 или выше, а пароль домена необходимо изменить.

      • Дополнительные сведения см. в статье Kerberos Enhancements (Дополнительные возможности Kerberos).

        Примечание

        При повышении режима работы домена до Windows Server 2008 или выше на контроллере домена могут возникать ошибки проверки подлинности, если он уже выполнил репликацию изменения DFL, но еще не обновил пароль KRBTGT. В данном случае при перезапуске службы KDC на контроллере домена будет запущено обновление нового пароля KRBTGT в памяти и устранены связанные ошибки проверки подлинности.

    • В данных о последнем интерактивном входе в систему приведены следующие сведения:

      • Общее количество неудачных попыток входа на сервер Windows Server 2008, присоединенный к домену, или рабочую станцию Windows Vista.
      • Общее количество неудачных попыток входа после удачного входа на сервер Windows Server 2008 или рабочую станцию Windows Vista.
      • Время последней неудачной попытки входа на Windows Server 2008 или рабочую станцию Windows Vista.
      • Время последней удачной попытки входа на сервер Windows Server 2008 или рабочую станцию Windows Vista.
    • Детальные политики паролей позволяют задавать политики паролей и политики блокирования учетных записей для пользователей и глобальных групп безопасности в домене. Дополнительные сведения см. в статье AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide (Пошаговое руководство по детальной настройке политик блокировки учетных записей и паролей доменных служб Active Directory).

    • Личные виртуальные рабочие столы

      • Чтобы использовать добавленные функции, предоставляемые на вкладке "Личный виртуальный рабочий стол" в диалоговом окне User Account Properties (Свойства учетной записи пользователя) в оснастке "Пользователи и компьютеры Active Directory", схема AD DS должна быть расширена для Windows Server 2008 R2 (версия объекта схемы = 47). Дополнительные сведения см. в статье Deploying Personal Virtual Desktops by Using RemoteApp and Desktop Connection Step-by-Step Guide (Пошаговое руководство по развертыванию личных виртуальных рабочих столов с помощью подключения к удаленным рабочим столам и приложениям RemoteApp).

Windows Server 2003

Поддерживаемые операционные системы контроллера домена:

  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Server 2003

Функции режима работы леса Windows Server 2003

  • Доступны все функции AD DS по умолчанию, а также:
    • Доверие леса
    • переименование домена.
    • Репликация связанного значения.
      • Репликация связанного значения позволяет изменить членство в группах для хранения и репликации значений отдельных участников вместо репликации всего членства как отдельного элемента. Хранение и репликация значений отдельных участников использует меньше пропускной способности сети и уменьшает количество циклов процессора во время репликации, а также предотвращает потерю обновлений при одновременном добавлении или удалении нескольких участников на разных контроллерах домена.
    • Возможность развертывания контроллера домена только для чтения (RODC).
    • Улучшенные алгоритмы и масштабируемость проверки согласованности знаний (KCC).
      • Генератор межсайтовой топологии (ISTG) использует улучшенные алгоритмы, масштабируемые для поддержки лесов с увеличенным количеством сайтов, чем может поддерживать AD DS в режиме работы леса Windows 2000. Улучшенный алгоритм выборов ISTG является механизмом выбора ISTG с меньшим уровнем вмешательства в режиме работы леса Windows 2000.
    • Возможность создания экземпляров динамического вспомогательного класса, называемых dynamicObject, в разделе каталога домена.
    • Возможность преобразования экземпляра объекта inetOrgPerson в экземпляр объекта User, а также завершения преобразования в обратном направлении.
    • Возможность создавать экземпляры новых типов групп для поддержки авторизации на основе ролей.
      • Эти типы называются основными группами приложений и группами запросов протокола LDAP.
    • деактивация и переопределение атрибутов и классов схемы. Следующие атрибуты можно использовать повторно: ldapDisplayName, schemaIdGuid, OID и mapiID.
    • Пространства имен DFS на основе домена, работающие в режиме Windows Server 2008, включая поддержку перечисления на основе доступа и повышенную масштабируемость. Дополнительные сведения см. в статье Choose a Namespace Type (Выбор типа пространства имен).

Функции режима работы домена Windows Server 2003

  • Доступны все функции AD DS по умолчанию, все функции основного режима Windows 2000 для режима работы домена, а также следующие функции.
    • Средство управления доменом Netdom.exe, позволяющее переименовывать контроллеры домена.
    • Обновления метки времени входа.
      • Атрибут lastLogonTimestamp обновляется с учетом времени последнего входа пользователя или компьютера. (этот атрибут реплицируется внутри домена);
    • Возможность задания атрибута userPassword в качестве эффективного пароля для объекта inetOrgPerson и объектов пользователей.
    • Возможность перенаправления контейнеров пользователей и компьютеров.
      • По умолчанию для размещения учетных записей компьютеров и пользователей или групп предоставляются два известных контейнера, а именно cn=Computers,<domain root> и cn=Users,<domain root>. Данная функция позволяет определять для этих учетных записей новое известное местоположение.
    • Возможность диспетчера авторизации хранить свои политики авторизации в службе AD DS.
    • Ограниченное делегирование
      • Ограниченное делегирование позволяет приложениям использовать безопасное делегирование учетных данных пользователей с помощью проверки подлинности на основе Kerberos.
      • Делегирование можно включить только для конкретных служб назначения.
    • Выборочная проверка подлинности
      • Выборочная проверка подлинности позволяет задать пользователей и группы из доверенного леса, которым разрешена проверка подлинности на серверах ресурсов в доверяющем лесу.

Windows 2000

Поддерживаемые операционные системы контроллера домена:

  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Server 2003
  • Windows 2000

Функции режима работы собственного леса Windows 2000

  • Доступны все функции AD DS по умолчанию.

Функции режима работы собственного домена Windows 2000

  • Доступны все функции AD DS по умолчанию, включая следующие функции каталога:
    • Универсальные группы для групп рассылки и для групп безопасности.
    • Вложение групп
    • Преобразование групп, которое позволяет выполнять преобразование между группами безопасности и рассылки.
    • Журнал идентификатора безопасности (SID).

Дальнейшие действия