Niveaux fonctionnels de forêt et de domaineForest and Domain Functional Levels

S'applique à : Windows ServerApplies To: Windows Server

Les niveaux fonctionnels déterminent les fonctionnalités de forêt ou de domaine de Active Directory Domain Services (AD DS) disponibles.Functional levels determine the available Active Directory Domain Services (AD DS) domain or forest capabilities. Ils déterminent également les systèmes d’exploitation Windows Server que vous pouvez exécuter sur les contrôleurs de domaine dans le domaine ou la forêt.They also determine which Windows Server operating systems you can run on domain controllers in the domain or forest. Toutefois, les niveaux fonctionnels n’affectent pas les systèmes d’exploitation que vous pouvez exécuter sur les stations de travail et les serveurs membres qui sont joints au domaine ou à la forêt.However, functional levels do not affect which operating systems you can run on workstations and member servers that are joined to the domain or forest.

Lorsque vous déployez AD DS, définissez les niveaux fonctionnels du domaine et de la forêt sur la valeur la plus élevée que votre environnement peut prendre en charge.When you deploy AD DS, set the domain and forest functional levels to the highest value that your environment can support. De cette façon, vous pouvez utiliser autant de fonctionnalités AD DS que possible.This way, you can use as many AD DS features as possible. Lorsque vous déployez une nouvelle forêt, vous êtes invité à définir le niveau fonctionnel de la forêt, puis à définir le niveau fonctionnel du domaine.When you deploy a new forest, you are prompted to set the forest functional level and then set the domain functional level. Vous pouvez définir le niveau fonctionnel du domaine sur une valeur supérieure au niveau fonctionnel de la forêt, mais vous ne pouvez pas définir le niveau fonctionnel du domaine sur une valeur inférieure au niveau fonctionnel de la forêt.You can set the domain functional level to a value that is higher than the forest functional level, but you cannot set the domain functional level to a value that is lower than the forest functional level.

Avec la fin de vie de Windows 2003, les contrôleurs de domaine Windows 2003 doivent être mis à jour vers Windows Server 2008, 2008R2, 2012, 2012 R2, 2016 ou 2019.With the end of life of Windows 2003, Windows 2003 domain controllers (DCs) need to be updated to Windows Server 2008, 2008R2, 2012, 2012R2, 2016, or 2019. Par conséquent, tous les contrôleurs de domaine qui exécutent Windows Server 2003 doivent être supprimés du domaine.As a result, any domain controller that runs Windows Server 2003 should be removed from the domain.

Au niveau fonctionnel de domaine Windows Server 2008 et versions ultérieures, la réplication DFS (Distributed file service) est utilisée pour répliquer le contenu du dossier SYSVOL entre les contrôleurs de domaine.At the Windows Server 2008 and higher domain functional levels, Distributed File Service (DFS) Replication is used to replicate SYSVOL folder contents between domain controllers. Si vous créez un nouveau domaine au niveau fonctionnel de domaine Windows Server 2008 ou supérieur, réplication DFS est automatiquement utilisé pour répliquer SYSVOL.If you create a new domain at the Windows Server 2008 domain functional level or higher, DFS Replication is automatically used to replicate SYSVOL. Si vous avez créé le domaine à un niveau fonctionnel inférieur, vous devez migrer à partir de à l’aide de FRS vers la réplication DFS pour SYSVOL.If you created the domain at a lower functional level, you will need to migrate from using FRS to DFS replication for SYSVOL. Pour les étapes de migration, vous pouvez suivre les procédures sur TechNet ou vous pouvez consulter l' ensemble d’étapes rationalisé sur le blog de l’équipe de stockage file cabinet.For migration steps, you can either follow the procedures on TechNet or you can refer to the streamlined set of steps on the Storage Team File Cabinet blog.

Windows Server 2019Windows Server 2019

Aucun nouveau niveau fonctionnel de forêt ou de domaine n’a été ajouté dans cette version.There are no new forest or domain functional levels added in this release.

La configuration minimale requise pour ajouter un contrôleur de domaine Windows Server 2019 est un niveau fonctionnel Windows Server 2008.The minimum requirement to add a Windows Server 2019 Domain Controller is a Windows Server 2008 functional level. Le domaine doit également utiliser DFS-R comme moteur pour répliquer SYSVOL.The domain also has to use DFS-R as the engine to replicate SYSVOL.

Windows Server 2016Windows Server 2016

Système d’exploitation du contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016

Fonctionnalités de niveau fonctionnel de la forêt Windows Server 2016Windows Server 2016 forest functional level features

Fonctionnalités de niveau fonctionnel de domaine Windows Server 2016Windows Server 2016 domain functional level features

  • Toutes les fonctionnalités de Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel du domaine Windows Server 2012 R2, ainsi que les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2012R2 domain functional level, plus the following features:
    • Les contrôleurs de clés peuvent prendre en charge le déroulement automatique des secrets NTLM et d’autres secrets basés sur un mot de passe sur un compte d’utilisateur configuré pour exiger l’authentification PKI.DCs can support automatic rolling of the NTLM and other password-based secrets on a user account configured to require PKI authentication. Cette configuration est également connue sous le nom de « carte à puce requise pour l’ouverture de session interactive ».This configuration is also known as “Smart card required for interactive logon”

    • Les contrôleurs de domaine peuvent prendre en charge l’autorisation du réseau NTLM lorsqu’un utilisateur est limité à des appareils spécifiques joints à un domaine.DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices.

    • Les clients Kerberos qui s’authentifient avec succès avec l’extension d’actualisation de PKInit obtiendront le SID d’identité de clé publique actualisé.Kerberos clients successfully authenticating with the PKInit Freshness Extension will get the fresh public key identity SID.

      Pour plus d’informations, consultez Nouveautés de l’authentification Kerberos et Nouveautés de la protection des informations d’identificationFor more information see What's New in Kerberos Authentication and What's new in Credential Protection

2012 R2 de Windows ServerWindows Server 2012R2

Système d’exploitation du contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2

Fonctionnalités de niveau fonctionnel de la forêt Windows Server 2012 R2Windows Server 2012R2 forest functional level features

  • Toutes les fonctionnalités disponibles au niveau fonctionnel de la forêt Windows Server 2012, mais aucune fonctionnalité supplémentaire.All of the features that are available at the Windows Server 2012 forest functional level, but no additional features.

Fonctionnalités du niveau fonctionnel du domaine Windows Server 2012 R2Windows Server 2012R2 domain functional level features

  • Toutes les fonctionnalités de Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine Windows Server 2012, ainsi que les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2012 domain functional level, plus the following features:
    • Protections côté DC pour les utilisateurs protégés.DC-side protections for Protected Users. Les utilisateurs protégés qui s’authentifient auprès d’un domaine Windows Server 2012 R2 ne peuvent plus :Protected Users authenticating to a Windows Server 2012 R2 domain can no longer:
      • S’authentifier avec l’authentification NTLMAuthenticate with NTLM authentication
      • Utiliser les suites de chiffrement DES ou RC4 dans la pré-authentification KerberosUse DES or RC4 cipher suites in Kerberos pre-authentication
      • Être délégué avec délégation non contrainte ou contrainteBe delegated with unconstrained or constrained delegation
      • Renouveler les tickets d’utilisateur (TGT) au-delà de la durée de vie initiale de 4 heuresRenew user tickets (TGTs) beyond the initial 4 hour lifetime
    • Stratégies d'authentificationAuthentication Policies
      • Nouvelles stratégies de Active Directory basées sur les forêts qui peuvent être appliquées aux comptes dans les domaines Windows Server 2012 R2 pour contrôler les hôtes auxquels un compte peut se connecter et appliquer des conditions de contrôle d’accès pour l’authentification aux services s’exécutant en tant que compte.New forest-based Active Directory policies which can be applied to accounts in Windows Server 2012 R2 domains to control which hosts an account can sign-on from and apply access control conditions for authentication to services running as an account.
    • Silos de stratégies d'authentificationAuthentication Policy Silos
      • Nouvel objet de Active Directory basé sur une forêt, qui peut créer une relation entre l’utilisateur, le service géré et l’ordinateur, les comptes à utiliser pour classer les comptes pour les stratégies d’authentification ou pour l’isolation d’authentification.New forest-based Active Directory object, which can create a relationship between user, managed service and computer, accounts to be used to classify accounts for authentication policies or for authentication isolation.

Windows Server 2012Windows Server 2012

Système d’exploitation du contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012

Fonctionnalités de niveau fonctionnel de la forêt Windows Server 2012Windows Server 2012 forest functional level features

  • Toutes les fonctionnalités disponibles au niveau fonctionnel de la forêt Windows Server 2008 R2, mais aucune fonctionnalité supplémentaire.All of the features that are available at the Windows Server 2008 R2 forest functional level, but no additional features.

Fonctionnalités de niveau fonctionnel de domaine Windows Server 2012Windows Server 2012 domain functional level features

  • Toutes les fonctionnalités de Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel du domaine Windows Server 2008R2, ainsi que les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2008R2 domain functional level, plus the following features:
    • La prise en charge du KDC pour les revendications, l’authentification composée et le blindage Kerberos stratégie de modèle d’administration KDC a deux paramètres (toujours fournir des revendications et rejeter les demandes d’authentification non blindées) qui nécessitent le niveau fonctionnel de domaine Windows Server 2012.The KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. Pour plus d’informations, consultez Nouveautés de l’authentification KerberosFor more information, see What's New in Kerberos Authentication

2008R2 de Windows ServerWindows Server 2008R2

Système d’exploitation du contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2

Fonctionnalités de niveau fonctionnel de la forêt Windows Server 2008R2Windows Server 2008R2 forest functional level features

  • Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2003, plus les fonctionnalités suivantes :All of the features that are available at the Windows Server 2003 forest functional level, plus the following features:
    • La corbeille Active Directory offre la possibilité de restaurer des objets supprimés dans leur intégralité pendant que les services de domaine Active Directory sont en cours d’exécution.Active Directory Recycle Bin, which provides the ability to restore deleted objects in their entirety while AD DS is running.

Fonctionnalités du niveau fonctionnel du domaine Windows Server 2008R2Windows Server 2008R2 domain functional level features

  • Toutes les fonctionnalités de Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine Windows Server 2008, ainsi que les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2008 domain functional level, plus the following features:
    • Assurance du mécanisme d’authentification, qui contient des informations sur le type de méthode d’ouverture de session (carte à puce ou nom d’utilisateur/mot de passe) utilisé pour authentifier les utilisateurs du domaine au sein du jeton Kerberos de chaque utilisateur.Authentication mechanism assurance, which packages information about the type of logon method (smart card or user name/password) that is used to authenticate domain users inside each user's Kerberos token. Lorsque cette fonctionnalité est activée dans un environnement réseau qui a déployé une infrastructure de gestion des identités fédérées, telle que Services ADFS (AD FS), les informations contenues dans le jeton peuvent ensuite être extraites chaque fois qu’un utilisateur tente d’accéder à application prenant en charge les revendications qui a été développée pour déterminer l’autorisation en fonction de la méthode d’ouverture de session d’un utilisateur.When this feature is enabled in a network environment that has deployed a federated identity management infrastructure, such as Active Directory Federation Services (AD FS), the information in the token can then be extracted whenever a user attempts to access any claims-aware application that has been developed to determine authorization based on a user's logon method.
    • Gestion automatique des noms principaux de service pour les services qui s’exécutent sur un ordinateur particulier dans le contexte d’un compte de service administré lorsque le nom ou le nom d’hôte DNS du compte d’ordinateur change.Automatic SPN management for services running on a particular computer under the context of a Managed Service Account when the name or DNS host name of the machine account changes. Pour plus d’informations sur les comptes de service administrés, consultez le Guide pas à pas des comptes de service.For more information about Managed Service Accounts, see Service Accounts Step-by-Step Guide.

Windows Server 2008Windows Server 2008

Système d’exploitation du contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008

Fonctionnalités de niveau fonctionnel de la forêt Windows Server 2008Windows Server 2008 forest functional level features

  • Toutes les fonctionnalités disponibles au niveau fonctionnel de la forêt Windows Server 2003, mais aucune fonctionnalité supplémentaire n’est disponible.All of the features that are available at the Windows Server 2003 forest functional level, but no additional features are available.

Fonctionnalités de niveau fonctionnel de domaine Windows Server 2008Windows Server 2008 domain functional level features

  • Toutes les fonctionnalités de AD DS par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine Windows Server 2003 et les fonctionnalités suivantes sont disponibles :All of the default AD DS features, all of the features from the Windows Server 2003 domain functional level, and the following features are available:
    • Prise en charge de la réplication système de fichiers DFS (DFS) pour le volume système Windows Server 2003 (SYSVOL)Distributed File System (DFS) replication support for the Windows Server 2003 System Volume (SYSVOL)

      • La prise en charge de la réplication DFS offre une réplication plus robuste et plus détaillée du contenu SYSVOL.DFS replication support provides more robust and detailed replication of SYSVOL contents.

        Notes

        À partir de Windows Server 2012 R2, le service de réplication de fichiers (FRS) est déconseillé.Beginning with Windows Server 2012 R2, File Replication Service (FRS) is deprecated. Un nouveau domaine créé sur un contrôleur de domaine qui exécute au moins Windows Server 2012 R2 doit être défini au niveau fonctionnel du domaine Windows Server 2008 ou supérieur.A new domain that is created on a domain controller that runs at least Windows Server 2012 R2 must be set to the Windows Server 2008 domain functional level or higher.

    • Espaces de noms DFS basés sur un domaine qui s’exécutent en mode Windows Server 2008, ce qui comprend la prise en charge de l’énumération basée sur l’accès et une évolutivité accrue.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Les espaces de noms basés sur un domaine en mode Windows Server 2008 nécessitent également que la forêt utilise le niveau fonctionnel de la forêt Windows Server 2003.Domain-based namespaces in Windows Server 2008 mode also require the forest to use the Windows Server 2003 forest functional level. Pour plus d’informations, consultez choisir un type d’espace de noms.For more information, see Choose a Namespace Type.

    • Prise en charge d’Advanced Encryption Standard (AES 128 et AES 256) pour le protocole Kerberos.Advanced Encryption Standard (AES 128 and AES 256) support for the Kerberos protocol. Pour que les TGT soient émis à l’aide d’AES, le niveau fonctionnel de domaine doit être Windows Server 2008 ou une version ultérieure et le mot de passe de domaine doit être modifié.In order for TGTs to be issued using AES, the domain functional level must be Windows Server 2008 or higher and the domain password needs to be changed.

      • Pour plus d’informations, consultez améliorations de Kerberos.For more information, see Kerberos Enhancements.

        Notes

        Des erreurs d’authentification peuvent se produire sur un contrôleur de domaine une fois que le niveau fonctionnel du domaine est élevé à Windows Server 2008 ou version ultérieure si le contrôleur de domaine a déjà répliqué la modification DFL mais n’a pas encore actualisé le mot de passe krbtgt.Authentication errors may occur on a domain controller after the domain functional level is raised to Windows Server 2008 or higher if the domain controller has already replicated the DFL change but has not yet refreshed the krbtgt password. Dans ce cas, un redémarrage du service KDC sur le contrôleur de domaine déclenche une actualisation en mémoire du nouveau mot de passe krbtgt et résout les erreurs d’authentification associées.In this case, a restart of the KDC service on the domain controller will trigger an in-memory refresh of the new krbtgt password and resolve related authentication errors.

    • Dernière ouverture de session interactive Les informations affichent les informations suivantes :Last Interactive Logon Information displays the following information:

      • Nombre total de tentatives de connexion ayant échoué sur un serveur Windows Server 2008 joint à un domaine ou une station de travail Windows VistaThe total number of failed logon attempts at a domain-joined Windows Server 2008 server or a Windows Vista workstation
      • Nombre total d’échecs de tentative de connexion après une ouverture de session réussie sur un serveur Windows Server 2008 ou une station de travail Windows VistaThe total number of failed logon attempts after a successful logon to a Windows Server 2008 server or a Windows Vista workstation
      • Heure de la dernière tentative d’ouverture de session ayant échoué sur un serveur Windows Server 2008 ou une station de travail Windows VistaThe time of the last failed logon attempt at a Windows Server 2008 or a Windows Vista workstation
      • Heure de la dernière tentative d’ouverture de session réussie sur un serveur Windows Server 2008 ou une station de travail Windows VistaThe time of the last successful logon attempt at a Windows Server 2008 server or a Windows Vista workstation
    • Les stratégies de mot de passe affinées vous permettent de spécifier des stratégies de verrouillage de compte et de mot de passe pour les utilisateurs et les groupes de sécurité globaux d’un domaine.Fine-grained password policies make it possible for you to specify password and account lockout policies for users and global security groups in a domain. Pour plus d’informations, consultez le Guide pas à pas pour la configuration des stratégies de verrouillage de compte et de mot de passe affinées.For more information, see Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration.

    • Bureaux virtuels personnelsPersonal Virtual Desktops

Windows Server 2003Windows Server 2003

Système d’exploitation du contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003

Fonctionnalités de niveau fonctionnel de la forêt Windows Server 2003Windows Server 2003 forest functional level features

  • Toutes les fonctionnalités de AD DS par défaut et les fonctionnalités suivantes sont disponibles :All of the default AD DS features, and the following features, are available:
    • Approbation de forêtForest trust
    • changement de nom de domaine ;Domain rename
    • Réplication de valeurs liéesLinked-value replication
      • La réplication de valeurs liées vous permet de modifier l’appartenance à un groupe pour stocker et répliquer les valeurs de chaque membre au lieu de répliquer l’ensemble de l’appartenance en tant qu’unité unique.Linked-value replication makes it possible for you to change group membership to store and replicate values for individual members instead of replicating the entire membership as a single unit. Le stockage et la réplication des valeurs de chaque membre utilisent moins de bande passante réseau et moins de cycles processeur pendant la réplication, et vous empêchent de perdre des mises à jour lorsque vous ajoutez ou supprimez plusieurs membres simultanément sur des contrôleurs de domaine différents.Storing and replicating the values of individual members uses less network bandwidth and fewer processor cycles during replication, and prevents you from losing updates when you add or remove multiple members concurrently at different domain controllers.
    • Possibilité de déployer un contrôleur de domaine en lecture seule (RODC)The ability to deploy a read-only domain controller (RODC)
    • Amélioration des algorithmes KCC (Knowledge Consistency Checker) et de l’évolutivitéImproved Knowledge Consistency Checker (KCC) algorithms and scalability
      • Le générateur de topologie intersite (ISTG) utilise des algorithmes améliorés qui s’adaptent pour prendre en charge les forêts avec un plus grand nombre de sites que AD DS peut prendre en charge au niveau fonctionnel de la forêt Windows 2000.The intersite topology generator (ISTG) uses improved algorithms that scale to support forests with a greater number of sites than AD DS can support at the Windows 2000 forest functional level. L’algorithme d’élection ISTG amélioré est un mécanisme moins intrusif pour le choix de l’ISTG au niveau fonctionnel de la forêt Windows 2000.The improved ISTG election algorithm is a less-intrusive mechanism for choosing the ISTG at the Windows 2000 forest functional level.
    • Possibilité de créer des instances de la classe auxiliaire dynamique nommée DynamicObject dans une partition d’annuaire de domaineThe ability to create instances of the dynamic auxiliary class named dynamicObject in a domain directory partition
    • Possibilité de convertir une instance d’objet InetOrgPerson en instance d’objet utilisateur et d’effectuer la conversion dans la direction opposéeThe ability to convert an inetOrgPerson object instance into a User object instance, and to complete the conversion in the opposite direction
    • Possibilité de créer des instances de nouveaux types de groupes pour prendre en charge l’autorisation basée sur les rôles.The ability to create instances of new group types to support role-based authorization.
      • Ces types sont appelés groupes de base d’applications et groupes de requêtes LDAP.These types are called application basic groups and LDAP query groups.
    • désactivation et redéfinition des attributs et classes du schéma.Deactivation and redefinition of attributes and classes in the schema. Les attributs suivants peuvent être réutilisés : ldapDisplayName, schemaIdGuid, OID et mapiID.The following attributes can be reused: ldapDisplayName, schemaIdGuid, OID, and mapiID.
    • Espaces de noms DFS basés sur un domaine qui s’exécutent en mode Windows Server 2008, ce qui comprend la prise en charge de l’énumération basée sur l’accès et une évolutivité accrue.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Pour plus d’informations, consultez choisir un type d’espace de noms.For more information, see Choose a Namespace Type.

Fonctionnalités de niveau fonctionnel de domaine Windows Server 2003Windows Server 2003 domain functional level features

  • Toutes les fonctionnalités de AD DS par défaut, toutes les fonctionnalités disponibles au niveau fonctionnel de domaine natif Windows 2000 et les fonctionnalités suivantes sont disponibles :All the default AD DS features, all the features that are available at the Windows 2000 native domain functional level, and the following features are available:
    • L’outil de gestion de domaine, Netdom. exe, qui vous permet de renommer les contrôleurs de domaineThe domain management tool, Netdom.exe, which makes it possible for you to rename domain controllers
    • Mises à jour de l’horodatage de connexionLogon time stamp updates
      • (L’attribut lastLogonTimestamp est mis à jour avec l’heure de la dernière ouverture de session de l’utilisateur ou ordinateur.The lastLogonTimestamp attribute is updated with the last logon time of the user or computer. Cet attribut est répliqué au sein du domaine.) ;This attribute is replicated within the domain.
    • Possibilité de définir l’attribut userPassword comme mot de passe effectif sur les objets InetOrgPerson et utilisateurThe ability to set the userPassword attribute as the effective password on inetOrgPerson and user objects
    • Possibilité de rediriger les conteneurs utilisateurs et ordinateursThe ability to redirect Users and Computers containers
      • Par défaut, deux conteneurs connus sont fournis pour héberger des comptes d’ordinateur et d’utilisateur, à savoir CN = Computers, et CN= Users,.By default, two well-known containers are provided for housing computer and user accounts, namely, cn=Computers, and cn=Users,. Cette fonctionnalité permet de définir un nouvel emplacement connu pour ces comptes.This feature allows the definition of a new, well-known location for these accounts.
    • La possibilité pour le gestionnaire d’autorisations de stocker ses stratégies d’autorisation dans AD DSThe ability for Authorization Manager to store its authorization policies in AD DS
    • Délégation contrainteConstrained delegation
      • La délégation avec restriction permet aux applications de tirer parti de la délégation sécurisée des informations d’identification de l’utilisateur au moyen de l’authentification Kerberos.Constrained delegation makes it possible for applications to take advantage of the secure delegation of user credentials by means of Kerberos-based authentication.
      • Vous pouvez limiter la délégation à des services de destination spécifiques uniquement.You can restrict delegation to specific destination services only.
    • Authentification sélectiveSelective authentication
      • L’authentification sélective vous permet de spécifier les utilisateurs et les groupes d’une forêt approuvée autorisés à s’authentifier auprès des serveurs de ressources d’une forêt d’approbation.Selective authentication makes it is possible for you to specify the users and groups from a trusted forest who are allowed to authenticate to resource servers in a trusting forest.

Windows 2000Windows 2000

Système d’exploitation du contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003
  • Windows 2000Windows 2000

Fonctionnalités de niveau fonctionnel de la forêt native Windows 2000Windows 2000 native forest functional level features

  • Toutes les fonctionnalités de AD DS par défaut sont disponibles.All of the default AD DS features are available.

Fonctionnalités de niveau fonctionnel de domaine natif de Windows 2000Windows 2000 native domain functional level features

  • Toutes les fonctionnalités de AD DS par défaut et les fonctionnalités d’annuaire suivantes sont disponibles, notamment :All of the default AD DS features and the following directory features are available including:
    • Groupes universels pour les groupes de distribution et de sécurité.Universal groups for both distribution and security groups.
    • Imbrication de groupesGroup nesting
    • Conversion de groupe, qui permet la conversion entre les groupes de sécurité et de distributionGroup conversion, which allows conversion between security and distribution groups
    • Historique des identificateurs de sécurité (SID)Security identifier (SID) history

Étapes suivantesNext Steps