Niveles funcionales de bosque y dominioForest and Domain Functional Levels

Se aplica a: Windows ServerApplies To: Windows Server

Los niveles funcionales determinan las funcionalidades disponibles de dominio o bosque de Active Directory Domain Services (AD DS).Functional levels determine the available Active Directory Domain Services (AD DS) domain or forest capabilities. También determinan los sistemas operativos Windows Server que se pueden ejecutar en los controladores de dominio del dominio o del bosque.They also determine which Windows Server operating systems you can run on domain controllers in the domain or forest. Sin embargo, los niveles funcionales no afectan a los sistemas operativos que se pueden ejecutar en las estaciones de trabajo y los servidores miembro que están unidos al dominio o al bosque.However, functional levels do not affect which operating systems you can run on workstations and member servers that are joined to the domain or forest.

Cuando implementes AD DS, establece los niveles funcionales de dominio y bosque en el valor más alto que admite el entorno.When you deploy AD DS, set the domain and forest functional levels to the highest value that your environment can support. De esta manera, podrás usar el mayor número posible de características de AD DS.This way, you can use as many AD DS features as possible. Al implementar un bosque nuevo, se te pide que establezcas el nivel funcional del bosque y, después, el nivel funcional del dominio.When you deploy a new forest, you are prompted to set the forest functional level and then set the domain functional level. Puedes establecer el nivel funcional del dominio en un valor que sea superior al nivel funcional del bosque, pero no puedes establecerlo en un valor que sea inferior al nivel funcional del bosque.You can set the domain functional level to a value that is higher than the forest functional level, but you cannot set the domain functional level to a value that is lower than the forest functional level.

Con el fin del ciclo de vida de Windows Server 2003, 2008 y 2008 R2, los controladores de dominio (DC) deben actualizarse a Windows Server 2012, 2012 R2, 2016 o 2019.With the end of life of Windows Server 2003, 2008, and 2008 R2, these domain controllers (DCs) need to be updated to Windows Server 2012, 2012 R2, 2016, or 2019. Como resultado, todos los controladores de dominio que ejecuten Windows Server 2008 R2 y anteriores deben quitarse del dominio.As a result, any domain controller that runs Windows Server 2008 R2 and older should be removed from the domain.

En los niveles funcionales de dominio de Windows Server 2008 y superior, se usa la Replicación del sistema de archivos distribuido (DFS) para replicar el contenido de la carpeta SYSVOL entre controladores de dominio.At the Windows Server 2008 and higher domain functional levels, Distributed File Service (DFS) Replication is used to replicate SYSVOL folder contents between domain controllers. Si creas un nuevo dominio en el nivel funcional del dominio de Windows Server 2008 o superior, se usa automáticamente Replicación DFS para replicar SYSVOL.If you create a new domain at the Windows Server 2008 domain functional level or higher, DFS Replication is automatically used to replicate SYSVOL. Si has creado el dominio en un nivel funcional inferior, tendrás que migrar del uso de FRS a la replicación DFS para SYSVOL.If you created the domain at a lower functional level, you will need to migrate from using FRS to DFS replication for SYSVOL. En el caso de los pasos de migración, puedes seguir los procedimientos de TechNet o puedes consultar el conjunto de pasos simplificado en el blog de contenedor de archivos del equipo de almacenamiento.For migration steps, you can either follow the procedures on TechNet or you can refer to the streamlined set of steps on the Storage Team File Cabinet blog. Windows Server 2016 RS1 es la última versión de Windows Server que incluye FRS.Windows Server 2016 RS1 is the last Windows Server release that includes FRS.

Windows Server 2019Windows Server 2019

No se ha agregado ningún nuevo nivel funcional de bosque o dominio en esta versión.There are no new forest or domain functional levels added in this release.

El requisito mínimo para agregar un controlador de dominio de Windows Server 2019 es el nivel funcional de Windows Server 2008.The minimum requirement to add a Windows Server 2019 Domain Controller is a Windows Server 2008 functional level. El dominio también tiene que usar DFS-R como motor para replicar SYSVOL.The domain also has to use DFS-R as the engine to replicate SYSVOL.

Windows Server 2016Windows Server 2016

Sistema operativo de controlador de dominio admitido:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016

Características del nivel funcional de bosque de Windows Server 2016Windows Server 2016 forest functional level features

Características del nivel funcional de dominio de Windows Server 2016Windows Server 2016 domain functional level features

  • Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows Server 2012R2 y las características siguientes:All default Active Directory features, all features from the Windows Server 2012R2 domain functional level, plus the following features:
    • Los controladores de dominio pueden admitir la implementación automática de NTLM y otros secretos basados en contraseña en una cuenta de usuario configurada para requerir la autenticación de PKI.DCs can support automatic rolling of the NTLM and other password-based secrets on a user account configured to require PKI authentication. Esta configuración también se conoce como "tarjeta inteligente requerida para el inicio de sesión interactivo".This configuration is also known as "Smart card required for interactive logon"

    • Los controladores de dominio pueden admitir NTLM de red cuando un usuario está restringido a determinados dispositivos unidos a un dominio.DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices.

    • Los clientes Kerberos que se autentican correctamente con la extensión de actualización PKInit obtendrán el SID de identidad de clave pública actualizado.Kerberos clients successfully authenticating with the PKInit Freshness Extension will get the fresh public key identity SID.

      Para más información, consulta Novedades de la autenticación Kerberos y Novedades en la protección de credencialesFor more information see What's New in Kerberos Authentication and What's new in Credential Protection

Windows Server 2012R2Windows Server 2012R2

Sistema operativo de controlador de dominio admitido:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2

Características del nivel funcional de bosque de Windows Server 2012R2Windows Server 2012R2 forest functional level features

  • Todas las características disponibles en el nivel funcional del bosque de Windows Server 2012, pero no características adicionales.All of the features that are available at the Windows Server 2012 forest functional level, but no additional features.

Características del nivel funcional de dominio de Windows Server 2012R2Windows Server 2012R2 domain functional level features

  • Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows Server 2012 y las características siguientes:All default Active Directory features, all features from the Windows Server 2012 domain functional level, plus the following features:
    • Protecciones en el lado del controlador de dominio para los usuarios protegidos.DC-side protections for Protected Users. Los usuarios protegidos que se autentiquen en un dominio de Windows Server 2012 R2 ya no podrán:Protected Users authenticating to a Windows Server 2012 R2 domain can no longer:
      • Autenticarse mediante la autenticación NTLMAuthenticate with NTLM authentication
      • Usar los conjuntos de cifrado DES o RC4 en la autenticación previa de KerberosUse DES or RC4 cipher suites in Kerberos pre-authentication
      • Delegarse mediante una delegación con o sin restriccionesBe delegated with unconstrained or constrained delegation
      • Renovar los vales de usuario (TGT) más allá de las 4 horas de vigencia inicialRenew user tickets (TGTs) beyond the initial 4 hour lifetime
    • Authentication PoliciesAuthentication Policies
      • Nuevas directivas de Active Directory basadas en bosques que se pueden aplicar a las cuentas en los dominios de Windows Server 2012 R2 para controlar en qué host puede iniciar sesión una cuenta y aplicar condiciones de control de acceso para la autenticación en los servicios que se ejecutan como una cuenta.New forest-based Active Directory policies which can be applied to accounts in Windows Server 2012 R2 domains to control which hosts an account can sign-on from and apply access control conditions for authentication to services running as an account.
    • Authentication Policy SilosAuthentication Policy Silos
      • Nuevo objeto de Active Directory basado en bosque, que puede crear una relación entre el usuario, el servicio administrado y el equipo, las cuentas que se van a usar para clasificar las cuentas de las directivas de autenticación o el aislamiento de autenticación.New forest-based Active Directory object, which can create a relationship between user, managed service and computer, accounts to be used to classify accounts for authentication policies or for authentication isolation.

Windows Server 2012Windows Server 2012

Sistema operativo de controlador de dominio admitido:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012

Características del nivel funcional de bosque de Windows Server 2012Windows Server 2012 forest functional level features

  • Todas las características disponibles en el nivel funcional del bosque de Windows Server 2008 R2, pero no características adicionales.All of the features that are available at the Windows Server 2008 R2 forest functional level, but no additional features.

Características del nivel funcional de dominio de Windows Server 2012Windows Server 2012 domain functional level features

  • Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows Server 2008R2 y las características siguientes:All default Active Directory features, all features from the Windows Server 2008R2 domain functional level, plus the following features:
    • La directiva de plantilla administrativa de compatibilidad de KDC con notificaciones, autenticación compuesta y protección de Kerberos tiene dos configuraciones (proporcionar siempre notificaciones y error de solicitudes de autenticación sin blindar) que requieren el nivel funcional de dominio de Windows Server 2012.The KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. Para más información, consulta Novedades de la autenticación Kerberos.For more information, see What's New in Kerberos Authentication

Windows Server 2008R2Windows Server 2008R2

Sistema operativo de controlador de dominio admitido:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2

Características del nivel funcional de bosque de Windows Server 2008R2Windows Server 2008R2 forest functional level features

  • Todas las características disponibles en el nivel funcional del bosque de Windows Server 2003, más las siguientes características:All of the features that are available at the Windows Server 2003 forest functional level, plus the following features:
    • Papelera de reciclaje de Active Directory, que proporciona la capacidad de restaurar completamente objetos eliminados mientras se ejecuta AD DS.Active Directory Recycle Bin, which provides the ability to restore deleted objects in their entirety while AD DS is running.

Características del nivel funcional de dominio de Windows Server 2008R2Windows Server 2008R2 domain functional level features

  • Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows Server 2008 y las características siguientes:All default Active Directory features, all features from the Windows Server 2008 domain functional level, plus the following features:
    • La comprobación del mecanismo de autenticación, que empaqueta la información sobre el tipo de método de inicio de sesión (tarjeta inteligente o nombre de usuario/contraseña) empleado para autenticar a usuarios del dominio dentro del token de Kerberos de cada usuario.Authentication mechanism assurance, which packages information about the type of logon method (smart card or user name/password) that is used to authenticate domain users inside each user's Kerberos token. Si esta característica está habilitada en un entorno de red que ha implementado una infraestructura de administración de identidades federadas, como Servicios de federación de Active Directory (AD FS), la información del token se puede extraer siempre que un usuario intente obtener acceso a cualquier aplicación para notificaciones que se haya desarrollado para determinar la autorización en función del método de inicio de sesión de un usuario.When this feature is enabled in a network environment that has deployed a federated identity management infrastructure, such as Active Directory Federation Services (AD FS), the information in the token can then be extracted whenever a user attempts to access any claims-aware application that has been developed to determine authorization based on a user's logon method.
    • Administración automática de SPN para servicios que se ejecutan en un equipo en particular en el contexto de una cuenta de servicio administrada cuando se modifica el nombre o el nombre de host DNS de la cuenta del equipo.Automatic SPN management for services running on a particular computer under the context of a Managed Service Account when the name or DNS host name of the machine account changes. Para obtener más información sobre cuentas de servicio administradas, consulta la Guía paso a paso de las cuentas de servicio.For more information about Managed Service Accounts, see Service Accounts Step-by-Step Guide.

Windows Server 2008Windows Server 2008

Sistema operativo de controlador de dominio admitido:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008

Características del nivel funcional de bosque de Windows Server 2008Windows Server 2008 forest functional level features

  • Están disponibles todas las características disponibles en el nivel funcional del bosque de Windows Server 2003, pero no características adicionales.All of the features that are available at the Windows Server 2003 forest functional level, but no additional features are available.

Características del nivel funcional de dominio de Windows Server 2008Windows Server 2008 domain functional level features

  • Todas las características predeterminadas de AD DS, todas las características del nivel funcional del dominio de Windows Server 2003 y las características siguientes están disponibles:All of the default AD DS features, all of the features from the Windows Server 2003 domain functional level, and the following features are available:
    • Compatibilidad de la replicación del Sistema de archivos distribuido (DFS) con el volumen del sistema de Windows Server 2003 (SYSVOL)Distributed File System (DFS) replication support for the Windows Server 2003 System Volume (SYSVOL)

      • La compatibilidad con la replicación DFS proporciona una replicación más sólida y detallada del contenido de SYSVOL.DFS replication support provides more robust and detailed replication of SYSVOL contents.

        Nota

        A partir de Windows Server 2012 R2, el servicio de replicación de archivos (FRS) está en desuso.Beginning with Windows Server 2012 R2, File Replication Service (FRS) is deprecated. Un dominio nuevo que se crea en un controlador de dominio que ejecuta como mínimo Windows Server 2012 R2 debe establecerse en el nivel funcional del dominio de Windows Server 2008 o superior.A new domain that is created on a domain controller that runs at least Windows Server 2012 R2 must be set to the Windows Server 2008 domain functional level or higher.

    • Los espacios de nombres de DFS basados en dominio que se ejecutan en modo Windows Server 2008, que incluyen compatibilidad con la enumeración basada en el acceso y mayor escalabilidad.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Los espacios de nombres basados en dominio en modo Windows Server 2008 también requieren que el bosque use el nivel funcional del bosque de Windows Server 2003.Domain-based namespaces in Windows Server 2008 mode also require the forest to use the Windows Server 2003 forest functional level. Para obtener más información, consulta Elegir un tipo de espacio de nombres.For more information, see Choose a Namespace Type.

    • Compatibilidad del Estándar de cifrado avanzado (AES 128 y 256) con el protocolo Kerberos.Advanced Encryption Standard (AES 128 and AES 256) support for the Kerberos protocol. Para que se puedan emitir TGT mediante AES, el nivel funcional del dominio debe ser Windows Server 2008 o superior y es necesario cambiar la contraseña del dominio.In order for TGTs to be issued using AES, the domain functional level must be Windows Server 2008 or higher and the domain password needs to be changed.

      • Para obtener más información, consulta Mejoras de Kerberos.For more information, see Kerberos Enhancements.

        Nota

        Pueden producirse errores de autenticación en un controlador de dominio después de que el nivel funcional del dominio se eleve a Windows Server 2008 o superior si el controlador de dominio ya ha replicado el cambio de DFL pero aún no ha actualizado la contraseña de krbtgt.Authentication errors may occur on a domain controller after the domain functional level is raised to Windows Server 2008 or higher if the domain controller has already replicated the DFL change but has not yet refreshed the krbtgt password. En este caso, si se reinicia el servicio KDC en el controlador de dominio, se desencadenará una actualización en memoria de la nueva contraseña de krbtgt y se resolverán los errores de autenticación relacionados.In this case, a restart of the KDC service on the domain controller will trigger an in-memory refresh of the new krbtgt password and resolve related authentication errors.

    • La información del último inicio de sesión interactivo muestra lo siguiente:Last Interactive Logon Information displays the following information:

      • El número total de intentos de inicio de sesión erróneos en un servidor Windows Server 2008 o una estación de trabajo con Windows Vista unidos a un dominioThe total number of failed logon attempts at a domain-joined Windows Server 2008 server or a Windows Vista workstation
      • El número total de intentos de inicio de sesión erróneos después de un inicio de sesión correcto en un servidor Windows Server 2008 o una estación de trabajo con Windows VistaThe total number of failed logon attempts after a successful logon to a Windows Server 2008 server or a Windows Vista workstation
      • La duración de los intentos de inicio de sesión erróneos en un servidor Windows Server 2008 o una estación de trabajo con Windows VistaThe time of the last failed logon attempt at a Windows Server 2008 or a Windows Vista workstation
      • La duración del último intento de inicio de sesión correcto en un servidor Windows Server 2008 o una estación de trabajo con Windows VistaThe time of the last successful logon attempt at a Windows Server 2008 server or a Windows Vista workstation
    • Las directivas de contraseña muy específicas permiten especificar directivas de bloqueo de cuentas y contraseñas para usuarios y grupos de seguridad global en un dominio.Fine-grained password policies make it possible for you to specify password and account lockout policies for users and global security groups in a domain. Para obtener más información, consulta la Guía paso a paso para la configuración de directivas de bloqueo de cuentas y contraseñas muy específicas.For more information, see Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration.

    • Escritorios virtuales personalesPersonal Virtual Desktops

Windows Server 2003Windows Server 2003

Sistema operativo de controlador de dominio admitido:Supported Domain Controller Operating System:

  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003

Características del nivel funcional de bosque de Windows Server 2003Windows Server 2003 forest functional level features

  • Todas las características de AD DS predeterminadas y las siguientes características están disponibles:All of the default AD DS features, and the following features, are available:
    • Confianza de bosqueForest trust
    • Cambio de nombre de dominioDomain rename
    • Replicación de valor vinculadoLinked-value replication
      • La replicación de valor vinculado te permite cambiar la pertenencia a grupos para almacenar y replicar los valores de los miembros individuales, en lugar de replicar toda la pertenencia como una sola unidad.Linked-value replication makes it possible for you to change group membership to store and replicate values for individual members instead of replicating the entire membership as a single unit. El almacenamiento y la replicación de los valores de miembros individuales utiliza menos ancho de banda de red y menos ciclos de procesador durante la replicación, y evita que se pierdan actualizaciones cuando se agregan o quitan varios miembros simultáneamente en diferentes controladores de dominio.Storing and replicating the values of individual members uses less network bandwidth and fewer processor cycles during replication, and prevents you from losing updates when you add or remove multiple members concurrently at different domain controllers.
    • La capacidad de implementar un controlador de dominio de solo lectura (RODC)The ability to deploy a read-only domain controller (RODC)
    • Mejora en la escalabilidad y los algoritmos del comprobador de coherencia de la información (KCC)Improved Knowledge Consistency Checker (KCC) algorithms and scalability
      • El generador de topología entre sitios (ISTG) usa algoritmos mejorados que se escalan para admitir bosques con un número mayor de sitios del que AD DS puede admitir en el nivel funcional del bosque de Windows 2000.The intersite topology generator (ISTG) uses improved algorithms that scale to support forests with a greater number of sites than AD DS can support at the Windows 2000 forest functional level. El algoritmo mejorado de elección del ISTG es un mecanismo menos intrusivo para elegir el ISTG en el nivel funcional del bosque de Windows 2000.The improved ISTG election algorithm is a less-intrusive mechanism for choosing the ISTG at the Windows 2000 forest functional level.
    • La capacidad de crear instancias de la clase auxiliar dinámica denominada dynamicObject en una partición de directorio de dominio.The ability to create instances of the dynamic auxiliary class named dynamicObject in a domain directory partition
    • La capacidad de convertir una instancia de un objeto inetOrgPerson en una instancia de un objeto User, y para completar la conversión en la dirección opuesta.The ability to convert an inetOrgPerson object instance into a User object instance, and to complete the conversion in the opposite direction
    • La capacidad de crear instancias de nuevos tipos de grupos para admitir la autorización basada en roles.The ability to create instances of new group types to support role-based authorization.
      • Estos tipos se denominan grupos básicos de aplicación y grupos de consulta LDAP.These types are called application basic groups and LDAP query groups.
    • Desactivación y nueva definición de atributos y clases en el esquema.Deactivation and redefinition of attributes and classes in the schema. Se pueden reutilizar los siguientes atributos: ldapDisplayName, schemaIdGuid, OID y mapiID.The following attributes can be reused: ldapDisplayName, schemaIdGuid, OID, and mapiID.
    • Los espacios de nombres de DFS basados en dominio que se ejecutan en modo Windows Server 2008, que incluyen compatibilidad con la enumeración basada en el acceso y mayor escalabilidad.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Para obtener más información, consulta Elegir un tipo de espacio de nombres.For more information, see Choose a Namespace Type.

Características del nivel funcional de dominio de Windows Server 2003Windows Server 2003 domain functional level features

  • Todas las características predeterminadas de AD DS, todas las características que están disponibles en el nivel funcional del dominio nativo de Windows Server 2000 y las características siguientes están disponibles:All the default AD DS features, all the features that are available at the Windows 2000 native domain functional level, and the following features are available:
    • La herramienta de administración de dominios, Netdom.exe, que permite cambiar el nombre de los controladores de dominio.The domain management tool, Netdom.exe, which makes it possible for you to rename domain controllers
    • Actualizaciones de la marca de tiempo de inicio de sesiónLogon time stamp updates
      • El atributo lastLogonTimestamp se actualiza con la hora en que el usuario o equipo inició sesión por última vez.The lastLogonTimestamp attribute is updated with the last logon time of the user or computer. Este atributo se replica dentro del dominio.This attribute is replicated within the domain.
    • La capacidad de establecer el atributo userPassword como la contraseña efectiva en el objeto inetOrgPerson y los objetos de usuario.The ability to set the userPassword attribute as the effective password on inetOrgPerson and user objects
    • La capacidad de redirigir los contenedores Usuarios y equipos.The ability to redirect Users and Computers containers
      • De manera predeterminada, se proporcionan dos contenedores conocidos para hospedar las cuentas del equipo y del usuario, a saber, cn=Computers, y cn=Users,.By default, two well-known containers are provided for housing computer and user accounts, namely, cn=Computers, and cn=Users,. Esta característica permite definir una ubicación nueva conocida para estas cuentas.This feature allows the definition of a new, well-known location for these accounts.
    • La capacidad del Administrador de autorización para almacenar sus directivas de autorización en AD DS.The ability for Authorization Manager to store its authorization policies in AD DS
    • Delegación restringidaConstrained delegation
      • La delegación restringida hace posible que las aplicaciones aprovechen la delegación segura de credenciales de usuario por medio de la autenticación basada en Kerberos.Constrained delegation makes it possible for applications to take advantage of the secure delegation of user credentials by means of Kerberos-based authentication.
      • Solo puedes restringir la delegación a servicios de destino específicos.You can restrict delegation to specific destination services only.
    • Autenticación selectivaSelective authentication
      • La autenticación selectiva hace posible especificar los usuarios y grupos de un bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque que confía.Selective authentication makes it is possible for you to specify the users and groups from a trusted forest who are allowed to authenticate to resource servers in a trusting forest.

Windows 2000Windows 2000

Sistema operativo de controlador de dominio admitido:Supported Domain Controller Operating System:

  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003
  • Windows 2000Windows 2000

Características del nivel funcional de bosque de Windows Server 2000Windows 2000 native forest functional level features

  • Todas las características de AD DS predeterminadas están disponibles.All of the default AD DS features are available.

Características del nivel funcional de dominio de Windows Server 2000Windows 2000 native domain functional level features

  • Todas las características de AD DS predeterminadas y las siguientes características del directorio están disponibles, entre ellas:All of the default AD DS features and the following directory features are available including:
    • Los grupos universales para grupos de distribución y de seguridad.Universal groups for both distribution and security groups.
    • Anidación de grupos.Group nesting
    • La conversión de grupos, que permite la conversión entre grupos de seguridad y grupos de distribución.Group conversion, which allows conversion between security and distribution groups
    • El historial de identificadores de seguridad (SID).Security identifier (SID) history

Pasos a seguirNext Steps