Gesamtstruktur- und DomänenfunktionsebenenForest and Domain Functional Levels

Gilt für: Windows ServerApplies To: Windows Server

Funktionsebenen bestimmen die verfügbaren AD DS-Domänen- oder Gesamtstrukturfunktionen (Active Directory Domain Services).Functional levels determine the available Active Directory Domain Services (AD DS) domain or forest capabilities. Außerdem legen sie fest, welche Windows Server-Betriebssysteme auf Domänencontrollern in der Domäne oder der Gesamtstruktur ausgeführt werden können.They also determine which Windows Server operating systems you can run on domain controllers in the domain or forest. Funktionsebenen haben jedoch keine Auswirkung darauf, welche Betriebssysteme Sie auf Arbeitsstationen und Mitgliedsservern ausführen können, die mit der Domäne oder der Gesamtstruktur verknüpft sind.However, functional levels do not affect which operating systems you can run on workstations and member servers that are joined to the domain or forest.

Legen Sie bei der Bereitstellung von AD DS die Domänen- und Gesamtstrukturfunktionsebenen auf den höchsten Wert fest, den die Umgebung unterstützen kann.When you deploy AD DS, set the domain and forest functional levels to the highest value that your environment can support. Auf diese Weise können Sie so viele AD DS-Features wie möglich verwenden.This way, you can use as many AD DS features as possible. Wenn Sie eine neue Gesamtstruktur bereitstellen, werden Sie aufgefordert, zunächst die Gesamtstrukturfunktionsebene und anschließend die Domänenfunktionsebene festzulegen.When you deploy a new forest, you are prompted to set the forest functional level and then set the domain functional level. Sie können die Domänenfunktionsebene auf einen Wert festlegen, der höher als die Gesamtstrukturfunktionsebene ist. Sie können die Domänenfunktionsebene jedoch nicht auf einen niedrigeren Wert als die Gesamtstrukturfunktionsebene festlegen.You can set the domain functional level to a value that is higher than the forest functional level, but you cannot set the domain functional level to a value that is lower than the forest functional level.

Mit dem Ende der Lebensdauer von Windows Server 2003, 2008 und 2008 R2 müssen diese Domänencontrollern (DCs) auf Windows Server 2012, 2012 R2, 2016 bzw. 2019 aktualisiert werden.With the end of life of Windows Server 2003, 2008, and 2008 R2, these domain controllers (DCs) need to be updated to Windows Server 2012, 2012 R2, 2016, or 2019. Daher sollten alle Domänencontroller, die auf Windows Server 2008 R2 und älter ausgeführt werden, aus der Domäne entfernt werden.As a result, any domain controller that runs Windows Server 2008 R2 and older should be removed from the domain.

Bei Windows Server 2008-Domänenfunktionsebenen (und höher) wird die DFS-Replikation (Distributed File Service) zum Replizieren von SYSVOL-Ordnerinhalten zwischen Domänencontrollern verwendet.At the Windows Server 2008 and higher domain functional levels, Distributed File Service (DFS) Replication is used to replicate SYSVOL folder contents between domain controllers. Wenn Sie auf der Windows Server 2008-Domänenfunktionsebene (oder höher) eine neue Domäne erstellen, wird die DFS-Replikation automatisch zum Replizieren von SYSVOL verwendet.If you create a new domain at the Windows Server 2008 domain functional level or higher, DFS Replication is automatically used to replicate SYSVOL. Wenn Sie die Domäne auf einer niedrigeren Funktionsebene erstellt haben, müssen Sie für SYSVOL anstatt des Dateireplikationsdiensts die DFS-Replikation verwenden.If you created the domain at a lower functional level, you will need to migrate from using FRS to DFS replication for SYSVOL. Für die Migrationsschritte können Sie entweder die Anweisungen auf TechNet oder die optimierten Schritte im Storage Team File Cabinet-Blog befolgen.For migration steps, you can either follow the procedures on TechNet or you can refer to the streamlined set of steps on the Storage Team File Cabinet blog. Windows Server 2016 RS1 ist das letzte Windows Server-Release, das FRS umfasst.Windows Server 2016 RS1 is the last Windows Server release that includes FRS.

Windows Server 2019Windows Server 2019

In dieser Version wurden keine neuen Gesamtstruktur- oder Domänenfunktionsebenen hinzugefügt.There are no new forest or domain functional levels added in this release.

Die Mindestanforderung zum Hinzufügen eines Windows Server 2019-Domänencontrollers ist eine Windows Server 2008-Funktionsebene.The minimum requirement to add a Windows Server 2019 Domain Controller is a Windows Server 2008 functional level. Die Domäne muss auch DFS-R als Engine zum Replizieren von SYSVOL verwenden.The domain also has to use DFS-R as the engine to replicate SYSVOL.

Windows Server 2016Windows Server 2016

Unterstützte Betriebssysteme des Domänencontrollers:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016

Features für die Windows Server 2016-GesamtstrukturfunktionsebeneWindows Server 2016 forest functional level features

Features für die Windows Server 2016-DomänenfunktionsebeneWindows Server 2016 domain functional level features

  • Alle Active Directory-Standardfeatures, alle Features der Windows Server 2012 R2-Domänenfunktionsebene und die folgenden Features sind verfügbar:All default Active Directory features, all features from the Windows Server 2012R2 domain functional level, plus the following features:
    • Domänencontroller können das automatische Rollen von NTLM und anderen kennwortbasierten Geheimnissen für ein Benutzerkonto unterstützen, das so konfiguriert ist, dass die PKI-Authentifizierung erforderlich ist.DCs can support automatic rolling of the NTLM and other password-based secrets on a user account configured to require PKI authentication. Diese Konfiguration wird auch als „Smart card required for interactive logon“ (Smartcard für interaktive Anmeldung erforderlich) bezeichnet.This configuration is also known as "Smart card required for interactive logon"

    • Domänencontroller können das Zulassen von Netzwerk-NTLM unterstützen, wenn ein Benutzer auf bestimmte, in die Domäne eingebundene Geräte beschränkt ist.DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices.

    • Kerberos-Clients, die sich erfolgreich bei der PKInit Freshness-Erweiterung authentifizieren, erhalten die aktuelle SID der öffentlichen Schlüsselidentität.Kerberos clients successfully authenticating with the PKInit Freshness Extension will get the fresh public key identity SID.

      Weitere Informationen finden Sie unter Neuerungen bei der Kerberos-Authentifizierung und Neuerungen beim Schutz von Anmeldeinformationen.For more information see What's New in Kerberos Authentication and What's new in Credential Protection

Windows Server 2012 R2Windows Server 2012R2

Unterstützte Betriebssysteme des Domänencontrollers:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2

Features für die Windows Server 2012 R2-GesamtstrukturfunktionsebeneWindows Server 2012R2 forest functional level features

  • Alle auf der Windows Server 2012-Gesamtstrukturfunktionsebene verfügbaren Features, jedoch keine zusätzlichen Features sind verfügbar.All of the features that are available at the Windows Server 2012 forest functional level, but no additional features.

Features für die Windows Server 2012 R2-DomänenfunktionsebeneWindows Server 2012R2 domain functional level features

  • Alle Active Directory-Standardfeatures, alle Features der Windows Server 2012-Domänenfunktionsebene und die folgenden Features sind verfügbar:All default Active Directory features, all features from the Windows Server 2012 domain functional level, plus the following features:
    • Domänencontrollerseitiger Schutz für geschützte Benutzer:DC-side protections for Protected Users. Geschützte Benutzer, die sich bei einer Windows Server 2012 R2-Domäne authentifizieren, können Folgendes nicht mehr tun:Protected Users authenticating to a Windows Server 2012 R2 domain can no longer:
      • Authentifizieren mit der NTLM-AuthentifizierungAuthenticate with NTLM authentication
      • Verwenden von DES- oder RC4-Verschlüsselungssammlungen bei der Kerberos-VorauthentifizierungUse DES or RC4 cipher suites in Kerberos pre-authentication
      • Delegierung mit eingeschränkter oder nicht eingeschränkter DelegierungBe delegated with unconstrained or constrained delegation
      • Erneuern von Benutzertickets (TGTs) jenseits der ursprünglichen vierstündigen LebensdauerRenew user tickets (TGTs) beyond the initial 4 hour lifetime
    • AuthentifizierungsrichtlinienAuthentication Policies
      • Es sind neue gesamtstrukturbasierte Active Directory-Richtlinien verfügbar, die auf Konten in Windows Server 2012 R2-Domänen angewendet werden können. Mit diesen kann gesteuert werden, auf welchen Hosts sich ein Konto anmelden kann, und es können Zugriffssteuerungsbedingungen zur Authentifizierung für Dienste angewendet werden, die als Konto ausgeführt werden.New forest-based Active Directory policies which can be applied to accounts in Windows Server 2012 R2 domains to control which hosts an account can sign-on from and apply access control conditions for authentication to services running as an account.
    • AuthentifizierungsrichtliniensilosAuthentication Policy Silos
      • Es ist ein neues gesamtstrukturbasiertes Active Directory-Objekt verfügbar, das eine Beziehung zwischen dem Benutzer, verwalteten Dienst und Computer sowie Konten herstellen kann, die zum Klassifizieren von Konten für Authentifizierungsrichtlinien oder die Authentifizierungsisolation verwendet werden.New forest-based Active Directory object, which can create a relationship between user, managed service and computer, accounts to be used to classify accounts for authentication policies or for authentication isolation.

Windows Server 2012Windows Server 2012

Unterstützte Betriebssysteme des Domänencontrollers:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012

Features für die Windows Server 2012-GesamtstrukturfunktionsebeneWindows Server 2012 forest functional level features

  • Es sind alle auf der Windows Server 2008 R2-Gesamtstrukturfunktionsebene verfügbaren Features, jedoch keine zusätzlichen Features verfügbar.All of the features that are available at the Windows Server 2008 R2 forest functional level, but no additional features.

Features für die Windows Server 2012-DomänenfunktionsebeneWindows Server 2012 domain functional level features

  • Alle Active Directory-Standardfeatures, alle Features der Windows Server 2008 R2-Domänenfunktionsebene und die folgenden Features sind verfügbar:All default Active Directory features, all features from the Windows Server 2008R2 domain functional level, plus the following features:
    • Für die Kerberos-Domänencontrollerrichtlinie bezüglich administrativer Vorlagen für die KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und den Kerberos-Schutz sind zwei Einstellungen verfügbar („Immer Ansprüche liefern“ und „Ungeschützte Authentifizierungsanfragen ablehnen“), für die die Windows Server 2012-Domänenfunktionsebene erforderlich ist.The KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. Weitere Informationen finden Sie unter Neuerungen bei der Kerberos-Authentifizierung.For more information, see What's New in Kerberos Authentication

Windows Server 2008 R2Windows Server 2008R2

Unterstützte Betriebssysteme des Domänencontrollers:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2

Features für die Windows Server 2008 R2-GesamtstrukturfunktionsebeneWindows Server 2008R2 forest functional level features

  • Alle Features, die auf der Gesamtstrukturfunktionsebene Windows Server 2003 verfügbar sind, plus die folgenden Features:All of the features that are available at the Windows Server 2003 forest functional level, plus the following features:
    • Active Directory-Papierkorb, der die Möglichkeit bietet, gelöschte Objekte in ihrer Gesamtheit wiederherzustellen, während AD DS ausgeführt wird.Active Directory Recycle Bin, which provides the ability to restore deleted objects in their entirety while AD DS is running.

Features für die Windows Server 2008 R2-DomänenfunktionsebeneWindows Server 2008R2 domain functional level features

  • Alle Active Directory-Standardfeatures, alle Features der Windows Server 2008-Domänenfunktionsebene und die folgenden Features sind verfügbar:All default Active Directory features, all features from the Windows Server 2008 domain functional level, plus the following features:
    • Die Authentifizierungsmechanismussicherung ist verfügbar, bei der Informationen zum Typ der Anmeldemethode (Smartcard oder Benutzername/Kennwort), die zum Authentifizieren von Domänenbenutzern dient, in das Kerberos-Token der einzelnen Benutzer eingefügt werden.Authentication mechanism assurance, which packages information about the type of logon method (smart card or user name/password) that is used to authenticate domain users inside each user's Kerberos token. Wenn dieses Feature in einer Netzwerkumgebung aktiviert ist, in der eine Infrastruktur zur Verbundidentitätsverwaltung wie Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) implementiert ist, können die Informationen im Token extrahiert werden, wenn ein Benutzer auf eine Ansprüche unterstützende Anwendung zugreift, die zum Feststellen der Autorisierung auf Basis der Anmeldemethode des Benutzers entwickelt wurde.When this feature is enabled in a network environment that has deployed a federated identity management infrastructure, such as Active Directory Federation Services (AD FS), the information in the token can then be extracted whenever a user attempts to access any claims-aware application that has been developed to determine authorization based on a user's logon method.
    • Die automatische Dienstprinzipalnamenverwaltung ist für Dienste verfügbar, die auf einem bestimmten Computer im Kontext eines verwalteten Dienstkontos ausgeführt werden, wenn der Name oder DNS-Hostname des Computerkontos geändert wird.Automatic SPN management for services running on a particular computer under the context of a Managed Service Account when the name or DNS host name of the machine account changes. Weitere Informationen zu verwalteten Dienstkonten finden Sie in der schrittweisen Anleitung für Dienstkonten.For more information about Managed Service Accounts, see Service Accounts Step-by-Step Guide.

WindowsServer 2008Windows Server 2008

Unterstützte Betriebssysteme des Domänencontrollers:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • WindowsServer 2008Windows Server 2008

Features für die Windows Server 2008-GesamtstrukturfunktionsebeneWindows Server 2008 forest functional level features

  • Es sind alle auf der Windows Server 2003-Gesamtstrukturfunktionsebene verfügbaren Features, jedoch keine zusätzlichen Features verfügbar.All of the features that are available at the Windows Server 2003 forest functional level, but no additional features are available.

Features für die Windows Server 2008-DomänenfunktionsebeneWindows Server 2008 domain functional level features

  • Alle AD DS-Standardfeatures, alle Features der Windows Server 2003-Domänenfunktionsebene und die folgenden Features sind verfügbar:All of the default AD DS features, all of the features from the Windows Server 2003 domain functional level, and the following features are available:
    • Unterstützung für die DFS-Replikation (verteiltes Dateisystem) für Windows Server 2003 System Volume (SYSVOL)Distributed File System (DFS) replication support for the Windows Server 2003 System Volume (SYSVOL)

      • Die Unterstützung der DFS-Replikation bietet eine stabilere und detailliertere Replikation von SYSVOL-Inhalten.DFS replication support provides more robust and detailed replication of SYSVOL contents.

        Hinweis

        Ab Windows Server 2012 R2 ist der Dateireplikationsdienst (File Replication Service, FRS) veraltet.Beginning with Windows Server 2012 R2, File Replication Service (FRS) is deprecated. Eine neue Domäne, die auf einem Domänencontroller erstellt wird, auf dem mindestens Windows Server 2012 R2 ausgeführt wird, muss auf die Windows Server 2008-Domänenfunktionsebene (oder höher) festgelegt werden.A new domain that is created on a domain controller that runs at least Windows Server 2012 R2 must be set to the Windows Server 2008 domain functional level or higher.

    • Es sind im Windows Server 2008-Modus ausgeführte domänenbasierte DFS-Namespaces einschließlich der Unterstützung für die zugriffsbasierte Aufzählung und bessere Skalierbarkeit verfügbar.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Domänenbasierte Namespaces im Windows Server 2008-Modus erfordern außerdem die Gesamtstruktur, um die Windows Server 2003-Gesamtstrukturfunktionsebene nutzen zu können.Domain-based namespaces in Windows Server 2008 mode also require the forest to use the Windows Server 2003 forest functional level. Weitere Informationen finden Sie unter Auswählen eines Namespacetyps.For more information, see Choose a Namespace Type.

    • Advanced Encryption Standard-Unterstützung (AES 128 und AES 256) für das Kerberos-Protokoll:Advanced Encryption Standard (AES 128 and AES 256) support for the Kerberos protocol. Damit TGTs mithilfe von AES ausgestellt werden können, muss die Domänenfunktionsebene Windows Server 2008 oder höher sein und das Domänenkennwort geändert werden.In order for TGTs to be issued using AES, the domain functional level must be Windows Server 2008 or higher and the domain password needs to be changed.

      • Weitere Informationen finden Sie unter Kerberos-Erweiterungen.For more information, see Kerberos Enhancements.

        Hinweis

        Auf einem Domänencontroller können nach der Änderung der Domänenfunktionsebene auf Windows Server 2008 oder höher Authentifizierungsfehler auftreten, wenn der Domänencontroller zwar schon die DFL-Änderung, noch nicht aber das „krbtgt“-Kennwort geändert hat.Authentication errors may occur on a domain controller after the domain functional level is raised to Windows Server 2008 or higher if the domain controller has already replicated the DFL change but has not yet refreshed the krbtgt password. In diesem Fall löst ein Neustart des KDC-Diensts auf dem Domänencontroller eine Aktualisierung des neuen „krbtgt“-Kennworts im Arbeitsspeicher und zugehörige Authentifizierungsfehler aus.In this case, a restart of the KDC service on the domain controller will trigger an in-memory refresh of the new krbtgt password and resolve related authentication errors.

    • Die Informationen zur letzten interaktiven Anmeldung zeigen Folgendes an:Last Interactive Logon Information displays the following information:

      • Gesamtanzahl fehlgeschlagener Anmeldeversuche auf einem Windows Server 2008-Server in einer Domäne oder einer Windows Vista-ArbeitsstationThe total number of failed logon attempts at a domain-joined Windows Server 2008 server or a Windows Vista workstation
      • Gesamtanzahl fehlgeschlagener Anmeldeversuche nach einer erfolgreichen Anmeldung auf einem Windows Server 2008-Server oder einer Windows Vista-ArbeitsstationThe total number of failed logon attempts after a successful logon to a Windows Server 2008 server or a Windows Vista workstation
      • Zeitpunkt des letzten fehlgeschlagenen Anmeldeversuchs auf einem Windows Server 2008-Server oder einer Windows Vista-WorkstationThe time of the last failed logon attempt at a Windows Server 2008 or a Windows Vista workstation
      • Zeitpunkt des letzten erfolgreichen Anmeldeversuchs auf einem Windows Server 2008-Server oder einer Windows Vista-WorkstationThe time of the last successful logon attempt at a Windows Server 2008 server or a Windows Vista workstation
    • Abgestimmte Kennwortrichtlinien ermöglichen das Festlegen von Kennwort- und Kontosperrungsrichtlinien für Benutzer und globale Sicherheitsgruppen in einer Domäne.Fine-grained password policies make it possible for you to specify password and account lockout policies for users and global security groups in a domain. Weitere Informationen finden Sie in der schrittweisen Anleitung für die Konfiguration differenzierter Kennwort- und Kontosperrungsrichtlinien.For more information, see Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration.

    • persönliche virtuelle DesktopsPersonal Virtual Desktops

Windows Server 2003Windows Server 2003

Unterstützte Betriebssysteme des Domänencontrollers:Supported Domain Controller Operating System:

  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • WindowsServer 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003

Features für die Windows Server 2003-GesamtstrukturfunktionsebeneWindows Server 2003 forest functional level features

  • Alle AD DS-Standardfeatures und die folgenden Features sind verfügbar:All of the default AD DS features, and the following features, are available:
    • Gesamtstruktur-VertrauensstellungForest trust
    • DomänenumbenennungDomain rename
    • Verknüpfte WertreplikationLinked-value replication
      • Die verknüpfte Wertreplikation ermöglicht das Ändern der Gruppenmitgliedschaft zum Speichern und Replizieren von Werten für einzelne Mitglieder anstelle der Replikation der gesamten Mitgliedschaft als einzelne Einheit.Linked-value replication makes it possible for you to change group membership to store and replicate values for individual members instead of replicating the entire membership as a single unit. Das Speichern und Replizieren der Werte einzelner Mitglieder beansprucht weniger Netzwerkbandbreite und weniger Prozessorzyklen während der Replikation und verhindert, dass Updates verloren gehen, wenn Sie gleichzeitig mehrere Mitglieder auf unterschiedlichen Domänencontrollern hinzufügen oder entfernen.Storing and replicating the values of individual members uses less network bandwidth and fewer processor cycles during replication, and prevents you from losing updates when you add or remove multiple members concurrently at different domain controllers.
    • Möglichkeit zum Bereitstellen eines schreibgeschützten Domänencontrollers (RODC)The ability to deploy a read-only domain controller (RODC)
    • Verbesserte Algorithmen und Skalierbarkeit der Konsistenzprüfung (Knowledge Consistency Checker, KCC)Improved Knowledge Consistency Checker (KCC) algorithms and scalability
      • Der Generator für standortübergreifende Topologie (Intersite Topology Generator, ISTG) verwendet verbesserte Algorithmen für die Unterstützung von Gesamtstrukturen mit einer größeren Anzahl von Standorten als AD DS auf Windows 2000-Gesamtstrukturfunktionsebene unterstützen kann.The intersite topology generator (ISTG) uses improved algorithms that scale to support forests with a greater number of sites than AD DS can support at the Windows 2000 forest functional level. Der verbesserte ISTG-Wahlalgorithmus ist ein weniger intrusiver Mechanismus zur Auswahl des ISTG auf der Windows 2000-Gesamtstrukturfunktionsebene.The improved ISTG election algorithm is a less-intrusive mechanism for choosing the ISTG at the Windows 2000 forest functional level.
    • Möglichkeit zum Erstellen von Instanzen der dynamischen Erweiterungsklasse namens dynamicObject in einer DomänenverzeichnispartitionThe ability to create instances of the dynamic auxiliary class named dynamicObject in a domain directory partition
    • Möglichkeit zum Konvertieren einer inetOrgPerson-Objektinstanz zu einer User-Objektinstanz bzw. in umgekehrter RichtungThe ability to convert an inetOrgPerson object instance into a User object instance, and to complete the conversion in the opposite direction
    • Möglichkeit zum Erstellen von Instanzen von neuen Gruppentypen für die Unterstützung der rollenbasierten AutorisierungThe ability to create instances of new group types to support role-based authorization.
      • Diese Typen werden als „Anwendungsbasisgruppen“ und „LDAP-Abfragegruppen“ bezeichnet.These types are called application basic groups and LDAP query groups.
    • Deaktivierung und Neudefinition von Attributen und Klassen im SchemaDeactivation and redefinition of attributes and classes in the schema. Die folgenden Attribute können wieder verwendet werden: ldapDisplayName, schemaIdGuid, OID und mapiID.The following attributes can be reused: ldapDisplayName, schemaIdGuid, OID, and mapiID.
    • Es sind im Windows Server 2008-Modus ausgeführte domänenbasierte DFS-Namespaces einschließlich der Unterstützung für die zugriffsbasierte Aufzählung und bessere Skalierbarkeit verfügbar.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Weitere Informationen finden Sie unter Auswählen eines Namespacetyps.For more information, see Choose a Namespace Type.

Features für die Windows Server 2003-DomänenfunktionsebeneWindows Server 2003 domain functional level features

  • Alle AD DS-Standardfeatures, alle auf der nativen Windows 2000-Domänenfunktionsebene verfügbaren Features und die folgenden Features sind verfügbar:All the default AD DS features, all the features that are available at the Windows 2000 native domain functional level, and the following features are available:
    • Das Domänenverwaltungstool „Netdom.exe“ ermöglicht das Umbenennen von Domänencontrollern.The domain management tool, Netdom.exe, which makes it possible for you to rename domain controllers
    • Updates für AnmeldungszeitstempelLogon time stamp updates
      • Das lastLogonTimestamp-Attribut wird mit dem Zeitpunkt der letzten Anmeldung des Benutzers oder des Computers aktualisiert.The lastLogonTimestamp attribute is updated with the last logon time of the user or computer. Dieses Attribut wird innerhalb der Domäne repliziert.This attribute is replicated within the domain.
    • Möglichkeit zum Festlegen des userPassword-Attributs als effektives Kennwort für das inetOrgPerson-Objekt und für BenutzerobjekteThe ability to set the userPassword attribute as the effective password on inetOrgPerson and user objects
    • Möglichkeit zum Umleiten von Benutzer- und ComputercontainernThe ability to redirect Users and Computers containers
      • Standardmäßig werden für Computer und Benutzerkonten zwei bekannte Container bereitgestellt: „cn=Computers,“ und „cn=Users,“.By default, two well-known containers are provided for housing computer and user accounts, namely, cn=Computers, and cn=Users,. Mit diesem Feature kann für diese Konten ein neuer, bekannter Speicherort definiert werden.This feature allows the definition of a new, well-known location for these accounts.
    • Möglichkeit für den Autorisierungs-Manager zum Speichern von Autorisierungsrichtlinien in AD DSThe ability for Authorization Manager to store its authorization policies in AD DS
    • Eingeschränkte DelegierungConstrained delegation
      • Die eingeschränkte Delegierung ermöglicht Anwendungen die Nutzung der sicheren Delegierung von Anmeldeinformationen mithilfe der Kerberos-basierten Authentifizierung.Constrained delegation makes it possible for applications to take advantage of the secure delegation of user credentials by means of Kerberos-based authentication.
      • Sie können die Delegierung auf bestimmte Zieldienste beschränken.You can restrict delegation to specific destination services only.
    • Ausgewählte AuthentifizierungSelective authentication
      • Die ausgewählte Authentifizierung ermöglicht das Angeben von Benutzern und Gruppen aus einer Gesamtstruktur, die sich bei Ressourcenservern in einer vertrauenswürdigen Gesamtstruktur authentifizieren dürfen.Selective authentication makes it is possible for you to specify the users and groups from a trusted forest who are allowed to authenticate to resource servers in a trusting forest.

Windows 2000Windows 2000

Unterstützte Betriebssysteme des Domänencontrollers:Supported Domain Controller Operating System:

  • Windows Server 2008 R2Windows Server 2008 R2
  • WindowsServer 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003
  • Windows 2000Windows 2000

Features für die native Windows 2000-GesamtstrukturfunktionsebeneWindows 2000 native forest functional level features

  • Alle AD DS-Standardfeatures sind verfügbar.All of the default AD DS features are available.

Features für die native Windows 2000-DomänenfunktionsebeneWindows 2000 native domain functional level features

  • Alle AD DS-Standardfeatures sowie die folgenden Verzeichnisfunktionen sind verfügbar:All of the default AD DS features and the following directory features are available including:
    • universelle Gruppen für Verteiler- und SicherheitsgruppenUniversal groups for both distribution and security groups.
    • GruppenverschachtelungGroup nesting
    • Gruppenkonvertierung für den Wechsel zwischen Sicherheits- und VerteilergruppenGroup conversion, which allows conversion between security and distribution groups
    • Sicherheits-ID-Verlauf (Security Identifier, SID)Security identifier (SID) history

Nächste SchritteNext Steps