Niveaux fonctionnels de domaine et de forêtForest and Domain Functional Levels

S'applique à : Windows ServerApplies To: Windows Server

Les niveaux fonctionnels déterminent les capacités de domaine ou de forêt Active Directory Domain Services (AD DS).Functional levels determine the available Active Directory Domain Services (AD DS) domain or forest capabilities. Ils déterminent également quels systèmes d’exploitation Windows Server vous pouvez exécuter sur des contrôleurs de domaine dans le domaine ou la forêt.They also determine which Windows Server operating systems you can run on domain controllers in the domain or forest. Toutefois, les niveaux fonctionnels n’affectent pas les systèmes d’exploitation que vous pouvez exécuter sur des postes de travail et les serveurs membres qui sont joints au domaine ou à la forêt.However, functional levels do not affect which operating systems you can run on workstations and member servers that are joined to the domain or forest.

Lorsque vous déployez AD DS, définissez les niveaux fonctionnels du domaine et de la forêt sur la valeur la plus élevée prise en charge par votre environnement.When you deploy AD DS, set the domain and forest functional levels to the highest value that your environment can support. Vous pourrez ainsi utiliser autant de fonctionnalités AD DS que possible.This way, you can use as many AD DS features as possible. Lorsque vous déployez une nouvelle forêt, vous êtes invité à définir le niveau fonctionnel de celle-ci, puis le niveau fonctionnel du domaine.When you deploy a new forest, you are prompted to set the forest functional level and then set the domain functional level. Vous pouvez définir le niveau fonctionnel du domaine sur une valeur supérieure au niveau fonctionnel de la forêt, mais vous ne pouvez pas définir le niveau fonctionnel du domaine sur une valeur inférieure au niveau fonctionnel de la forêt.You can set the domain functional level to a value that is higher than the forest functional level, but you cannot set the domain functional level to a value that is lower than the forest functional level.

Avec la fin de vie de Windows 2003, 2008 et 2008 R2, ces contrôleurs de domaine doivent être mis à jour vers Windows Server 2012, 2012 R2, 2016 ou 2019.With the end of life of Windows Server 2003, 2008, and 2008 R2, these domain controllers (DCs) need to be updated to Windows Server 2012, 2012 R2, 2016, or 2019. Par conséquent, tous les contrôleurs de domaine qui exécutent Windows Server 2008 R2 et antérieur doivent être supprimés du domaine.As a result, any domain controller that runs Windows Server 2008 R2 and older should be removed from the domain.

Aux niveaux fonctionnels de domaine Windows Server 2008 et supérieurs, la réplication DFS (Distributed File Service) est utilisée pour répliquer le contenu du dossier SYSVOL entre les contrôleurs de domaine.At the Windows Server 2008 and higher domain functional levels, Distributed File Service (DFS) Replication is used to replicate SYSVOL folder contents between domain controllers. Si vous créez un domaine au niveau fonctionnel de domaine Windows Server 2008 ou supérieur, la réplication DFS est automatiquement utilisée pour répliquer SYSVOL.If you create a new domain at the Windows Server 2008 domain functional level or higher, DFS Replication is automatically used to replicate SYSVOL. Si vous avez créé le domaine à un niveau fonctionnel inférieur, vous devez passer de l’utilisation de FRS à la réplication DFS pour SYSVOL.If you created the domain at a lower functional level, you will need to migrate from using FRS to DFS replication for SYSVOL. Pour connaître les étapes de migration, reportez-vous aux procédures sur TechNet ou à l’ensemble de procédures simplifiées sur le blog Storage Team File Cabinet.For migration steps, you can either follow the procedures on TechNet or you can refer to the streamlined set of steps on the Storage Team File Cabinet blog. Windows Server 2016 RS1 est la dernière version de Windows Server qui comprend le service de réplication de fichiers.Windows Server 2016 RS1 is the last Windows Server release that includes FRS.

Windows Server 2019Windows Server 2019

Aucun nouveau niveau fonctionnel de domaine ou de forêt n’est ajouté dans cette version.There are no new forest or domain functional levels added in this release.

La configuration requise minimale pour ajouter un contrôleur de domaine Windows Server 2019 est le niveau fonctionnel Windows Server 2008.The minimum requirement to add a Windows Server 2019 Domain Controller is a Windows Server 2008 functional level. Le domaine doit également utiliser DFS-R comme moteur pour répliquer SYSVOL.The domain also has to use DFS-R as the engine to replicate SYSVOL.

Windows Server 2016Windows Server 2016

Système d’exploitation de contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016

Fonctionnalités du niveau fonctionnel de forêt Windows Server 2016Windows Server 2016 forest functional level features

Fonctionnalités du niveau fonctionnel de domaine Windows Server 2016Windows Server 2016 domain functional level features

  • Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine Windows Server 2012 R2, plus les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2012R2 domain functional level, plus the following features:
    • Les contrôleurs de domaine peuvent prendre en charge le déroulement automatique des NTLM et autres secrets basés sur un mot de passe sur un compte d’utilisateur configuré pour exiger l’authentification PKI.DCs can support automatic rolling of the NTLM and other password-based secrets on a user account configured to require PKI authentication. Cette configuration est également appelée « Carte à puce requise pour l’ouverture de session interactive »This configuration is also known as "Smart card required for interactive logon"

    • Les contrôleurs de domaine peuvent prendre en charge l’autorisation de réseau NTLM lorsqu’un utilisateur est limité à certains appareils associés à un domaine.DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices.

    • Les clients Kerberos qui sont authentifiés avec l’extension PKInit Freshness obtiennent le SID d’identité de clé publique actualisé.Kerberos clients successfully authenticating with the PKInit Freshness Extension will get the fresh public key identity SID.

      Pour plus d’informations, voir Nouveautés de l’authentification Kerberos et Nouveautés de la protection des informations d’identificationFor more information see What's New in Kerberos Authentication and What's new in Credential Protection

Windows Server 2012 R2Windows Server 2012R2

Système d’exploitation de contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2

Fonctionnalités du niveau fonctionnel de forêt Windows Server 2012 R2Windows Server 2012R2 forest functional level features

  • Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2012, mais pas de fonctionnalités supplémentaires.All of the features that are available at the Windows Server 2012 forest functional level, but no additional features.

Fonctionnalités du niveau de domaine Windows Server 2012 R2Windows Server 2012R2 domain functional level features

  • Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel du domaine Windows Server 2012, plus les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2012 domain functional level, plus the following features:
    • Protections côté contrôleur de domaine pour les utilisateurs protégés.DC-side protections for Protected Users. Les utilisateurs protégés qui s’authentifient auprès d’un domaine Windows Server 2012 R2 ne peuvent plus effectuer les opérations suivantes :Protected Users authenticating to a Windows Server 2012 R2 domain can no longer:
      • s’authentifier avec l’authentification NTLM ;Authenticate with NTLM authentication
      • utiliser les suites de chiffrement DES ou RC4 dans la pré-authentification Kerberos ;Use DES or RC4 cipher suites in Kerberos pre-authentication
      • être délégués en utilisant la délégation non contrainte ou contrainte ;Be delegated with unconstrained or constrained delegation
      • renouveler les tickets TGT utilisateur au-delà de la durée de vie initiale de 4 heures.Renew user tickets (TGTs) beyond the initial 4 hour lifetime
    • Stratégies d'authentificationAuthentication Policies
      • Nouvelles stratégies Active Directory basées sur une forêt qui peuvent être appliquées à des comptes dans les domaines Windows Server 2012 R2 pour contrôler les hôtes à partir desquels un compte peut se connecter et appliquer des conditions de contrôle d’accès pour l’authentification auprès de services s’exécutant en tant que compte.New forest-based Active Directory policies which can be applied to accounts in Windows Server 2012 R2 domains to control which hosts an account can sign-on from and apply access control conditions for authentication to services running as an account.
    • Silos de stratégies d'authentificationAuthentication Policy Silos
      • Nouvel objet Active Directory basé sur une forêt, qui peut créer une relation entre des comptes d’utilisateurs, de services gérés et d’ordinateurs permettant de classer les comptes pour les stratégies d’authentification ou pour l’isolation de l’authentification.New forest-based Active Directory object, which can create a relationship between user, managed service and computer, accounts to be used to classify accounts for authentication policies or for authentication isolation.

Windows Server 2012Windows Server 2012

Système d’exploitation de contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012

Fonctionnalités du niveau fonctionnel de forêt Windows Server 2012Windows Server 2012 forest functional level features

  • Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2008 R2, mais pas de fonctionnalités supplémentaires.All of the features that are available at the Windows Server 2008 R2 forest functional level, but no additional features.

Fonctionnalités du niveau fonctionnel de domaine Windows Server 2012Windows Server 2012 domain functional level features

  • Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine Windows Server 2008 R2, plus les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2008R2 domain functional level, plus the following features:
    • La prise en charge du centre de distribution de clés pour les revendications, l’authentification composée et la stratégie de modèles d’administration du centre de distribution de clés du blindage Kerberos possède deux paramètres (Toujours fournir des revendications et Rejeter les demandes d’authentification non blindées) qui nécessitent le niveau fonctionnel de domaine Windows Server 2012.The KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. Pour plus d’informations, voir Nouveautés de l’authentification Kerberos.For more information, see What's New in Kerberos Authentication

Windows Server 2008 R2Windows Server 2008R2

Système d’exploitation de contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2

Fonctionnalités du niveau fonctionnel de forêt Windows Server 2008 R2Windows Server 2008R2 forest functional level features

  • Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2003, plus les fonctionnalités suivantes :All of the features that are available at the Windows Server 2003 forest functional level, plus the following features:
    • La corbeille Active Directory offre la possibilité de restaurer des objets supprimés dans leur intégralité pendant que les services de domaine Active Directory sont en cours d’exécution.Active Directory Recycle Bin, which provides the ability to restore deleted objects in their entirety while AD DS is running.

Fonctionnalités du niveau fonctionnel de domaine Windows Server 2008 R2Windows Server 2008R2 domain functional level features

  • Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine Windows Server 2008, plus les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2008 domain functional level, plus the following features:
    • L’assurance du mécanisme d’authentification stocke des informations sur le type de méthode d’ouverture de session (carte à puce ou nom d’utilisateur/mot de passe) utilisé pour authentifier les utilisateurs d’un domaine à l’intérieur du jeton Kerberos de chaque utilisateur.Authentication mechanism assurance, which packages information about the type of logon method (smart card or user name/password) that is used to authenticate domain users inside each user's Kerberos token. Lorsque cette fonctionnalité est activée dans un environnement réseau ayant déployé une infrastructure de gestion des identités fédérées, telle que les services AD FS (Active Directory Federation Services), les informations contenues dans le jeton peuvent être extraites chaque fois qu’un utilisateur tente d’accéder à une application prenant en charge les revendications, développée de façon à déterminer l’autorisation en fonction de la méthode d’ouverture de session d’un utilisateur.When this feature is enabled in a network environment that has deployed a federated identity management infrastructure, such as Active Directory Federation Services (AD FS), the information in the token can then be extracted whenever a user attempts to access any claims-aware application that has been developed to determine authorization based on a user's logon method.
    • Gestion automatique des noms principaux de service pour les services en cours d’exécution sur un ordinateur particulier dans le contexte d’un compte de service géré lorsque le nom ou le nom d’hôte DNS du compte d’ordinateur change.Automatic SPN management for services running on a particular computer under the context of a Managed Service Account when the name or DNS host name of the machine account changes. Pour plus d’informations sur les Comptes de service administrés, consultez Guide pas à pas des comptes de service.For more information about Managed Service Accounts, see Service Accounts Step-by-Step Guide.

Windows Server 2008Windows Server 2008

Système d’exploitation de contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008

Fonctionnalités du niveau fonctionnel de forêt Windows Server 2008Windows Server 2008 forest functional level features

  • Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2003, mais aucune fonctionnalité supplémentaire n’est disponible.All of the features that are available at the Windows Server 2003 forest functional level, but no additional features are available.

Fonctionnalités du niveau fonctionnel de domaine Windows Server 2008Windows Server 2008 domain functional level features

  • Toutes les fonctionnalités AD DS par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine Windows Server 2003, plus les fonctionnalités suivantes sont disponibles  :All of the default AD DS features, all of the features from the Windows Server 2003 domain functional level, and the following features are available:
    • Prise en charge de la réplication du système de fichiers DFS (Distributed File System) pour le volume système Windows Server 2003 (SYSVOL)Distributed File System (DFS) replication support for the Windows Server 2003 System Volume (SYSVOL)

      • La prise en charge de la réplication DFS offre une réplication plus fiable et plus granulaire du contenu de SYSVOL.DFS replication support provides more robust and detailed replication of SYSVOL contents.

        Notes

        À partir de Windows Server 2012 R2, le Service de réplication de fichiers (FRS) est déconseillé.Beginning with Windows Server 2012 R2, File Replication Service (FRS) is deprecated. Un nouveau domaine créé sur un contrôleur de domaine qui exécute au moins Windows Server 2012 R2 doit être défini sur le niveau fonctionnel de domaine Windows Server 2008 ou supérieur.A new domain that is created on a domain controller that runs at least Windows Server 2012 R2 must be set to the Windows Server 2008 domain functional level or higher.

    • Les espaces de noms DFS de domaine exécutés en mode Windows Server 2008, qui prend en charge l’énumération basée sur l’accès et une extensibilité accrue.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Les espace de noms de domaine en mode Windows Server 2008 exigent également que la forêt utilise le niveau fonctionnel de forêt Windows Server 2003.Domain-based namespaces in Windows Server 2008 mode also require the forest to use the Windows Server 2003 forest functional level. Pour plus d’informations, consultez Choisir un type d’espace de noms.For more information, see Choose a Namespace Type.

    • Prise en charge d’Advanced Encryption Standard (AES 128 et AES 256) pour le protocole Kerberos.Advanced Encryption Standard (AES 128 and AES 256) support for the Kerberos protocol. Pour que les tickets TGT soient émis à l’aide d’AES, le niveau fonctionnel de domaine doit être Windows Server 2008 ou supérieur et le mot de passe de domaine doit être modifié.In order for TGTs to be issued using AES, the domain functional level must be Windows Server 2008 or higher and the domain password needs to be changed.

      • Pour plus d’informations, voir Améliorations liées à Kerberos.For more information, see Kerberos Enhancements.

        Notes

        Des erreurs d’authentification peuvent se produire sur un contrôleur de domaine lorsque le niveau fonctionnel de domaine a été élevé à Windows Server 2008 ou supérieur si le contrôleur de domaine a déjà répliqué le changement DFL mais n’a pas encore actualisé le mot de passe krbtgt.Authentication errors may occur on a domain controller after the domain functional level is raised to Windows Server 2008 or higher if the domain controller has already replicated the DFL change but has not yet refreshed the krbtgt password. Dans ce cas, un redémarrage du service KDC sur le contrôleur de domaine déclenchera une actualisation en mémoire du nouveau mot de passe krbtgt et résoudra les erreurs d’authentification associées.In this case, a restart of the KDC service on the domain controller will trigger an in-memory refresh of the new krbtgt password and resolve related authentication errors.

    • L’élément Dernière ouverture de session interactive affiche les informations suivantes :Last Interactive Logon Information displays the following information:

      • le nombre total de tentatives d’ouverture de session ayant échoué sur un serveur Windows Server 2008 ou un poste de travail Windows Vista associé au domaine ;The total number of failed logon attempts at a domain-joined Windows Server 2008 server or a Windows Vista workstation
      • le nombre total de tentatives d’ouverture de session ayant échoué après une ouverture de session réussie sur un serveur Windows Server 2008 ou un poste de travail Windows Vista ;The total number of failed logon attempts after a successful logon to a Windows Server 2008 server or a Windows Vista workstation
      • l’heure de la dernière tentative d’ouverture de session ayant échoué sur un serveur Windows Server 2008 ou un poste de travail Windows Vista ;The time of the last failed logon attempt at a Windows Server 2008 or a Windows Vista workstation
      • l’heure de la dernière tentative d’ouverture de session réussie sur un serveur Windows Server 2008 ou un poste de travail Windows Vista.The time of the last successful logon attempt at a Windows Server 2008 server or a Windows Vista workstation
    • Les stratégies de mot de passe affinées vous permettent de spécifier les stratégies de mot de passe et de verrouillage de compte pour les utilisateurs et les groupes de sécurité globaux d’un domaine.Fine-grained password policies make it possible for you to specify password and account lockout policies for users and global security groups in a domain. Pour plus d’informations, voir le guide pas à pas relatif à la configuration des stratégies de verrouillage de compte et de mot de passe affinées.For more information, see Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration.

    • Bureaux virtuels personnelsPersonal Virtual Desktops

Windows Server 2003Windows Server 2003

Système d’exploitation de contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003

Fonctionnalités du niveau fonctionnel de forêt Windows Server 2003Windows Server 2003 forest functional level features

  • Toutes les fonctionnalités AD DS par défaut, ainsi que les suivantes, sont disponibles :All of the default AD DS features, and the following features, are available:
    • Approbation de forêtForest trust
    • changement de nom de domaine ;Domain rename
    • Réplication de valeurs liéesLinked-value replication
      • La réplication de valeurs liées vous permet de modifier l’appartenance de groupe de façon à stocker et répliquer des valeurs pour chaque membre au lieu de répliquer l’ensemble de l’appartenance comme une seule unité.Linked-value replication makes it possible for you to change group membership to store and replicate values for individual members instead of replicating the entire membership as a single unit. Le fait de stocker et de répliquer les valeurs de chaque membre utilise moins de bande passante réseau et moins de cycles de processeur au cours de la réplication. Cela vous empêche également de perdre des mises à jour lorsque vous ajoutez ou supprimez plusieurs membres simultanément auprès de différents contrôleurs de domaine.Storing and replicating the values of individual members uses less network bandwidth and fewer processor cycles during replication, and prevents you from losing updates when you add or remove multiple members concurrently at different domain controllers.
    • Possibilité de déployer un contrôleur de domaine en lecture seule (RODC)The ability to deploy a read-only domain controller (RODC)
    • Extensibilité et algorithmes du vérificateur de cohérence des données améliorésImproved Knowledge Consistency Checker (KCC) algorithms and scalability
      • Le générateur de topologie intersite (ISTG) utilise des algorithmes améliorés qui s’adaptent pour prendre en charge des forêts contenant un nombre de sites supérieur à celui pouvant être pris en charge par le niveau fonctionnel de forêt Windows 2000.The intersite topology generator (ISTG) uses improved algorithms that scale to support forests with a greater number of sites than AD DS can support at the Windows 2000 forest functional level. L’algorithme d’élection amélioré du générateur de topologie intersite propose un mécanisme de sélection d’ISTG au niveau fonctionnel de la forêt Windows 2000 moins contraignant.The improved ISTG election algorithm is a less-intrusive mechanism for choosing the ISTG at the Windows 2000 forest functional level.
    • Possibilité de créer des instances de la classe auxiliaire dynamique appelée dynamicObject dans une partition d’annuaire de domaine.The ability to create instances of the dynamic auxiliary class named dynamicObject in a domain directory partition
    • Possibilité de convertir une instance d’objet inetOrgPerson en instance d’objet User et d’effectuer la conversion en sens inverse.The ability to convert an inetOrgPerson object instance into a User object instance, and to complete the conversion in the opposite direction
    • Possibilité de créer des instances de nouveaux types de groupes pour prendre en charge l’autorisation basée sur les rôles.The ability to create instances of new group types to support role-based authorization.
      • Ces types sont appelés groupes de base d’application et groupes de requête LDAP.These types are called application basic groups and LDAP query groups.
    • désactivation et redéfinition des attributs et classes du schéma.Deactivation and redefinition of attributes and classes in the schema. Les attributs suivants peuvent être réutilisés : ldapDisplayName, schemaIdGuid, OID et mapiID.The following attributes can be reused: ldapDisplayName, schemaIdGuid, OID, and mapiID.
    • Les espaces de noms DFS de domaine exécutés en mode Windows Server 2008, qui prend en charge l’énumération basée sur l’accès et une extensibilité accrue.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Pour plus d’informations, consultez Choisir un type d’espace de noms.For more information, see Choose a Namespace Type.

Fonctionnalités du niveau fonctionnel de domaine Windows Server 2003Windows Server 2003 domain functional level features

  • Toutes les fonctionnalités AD DS par défaut, toutes les fonctionnalités du niveau fonctionnel de domaine natif Windows 2000 ainsi que les fonctionnalités suivantes sont disponibles :All the default AD DS features, all the features that are available at the Windows 2000 native domain functional level, and the following features are available:
    • L’outil de gestion de domaine, Netdom.exe, qui vous permet de renommer les contrôleurs de domaineThe domain management tool, Netdom.exe, which makes it possible for you to rename domain controllers
    • Mises à jour relatives à l’horodatage d’ouverture de sessionLogon time stamp updates
      • L’attribut lastLogonTimestamp est mis à jour avec l’heure de la dernière ouverture de session de l’utilisateur ou ordinateur.The lastLogonTimestamp attribute is updated with the last logon time of the user or computer. Cet attribut est répliqué au sein du domaine.) ;This attribute is replicated within the domain.
    • Possibilité de définir l’attribut userPassword comme mot de passe effectif pour l’objet inetOrgPerson et les objets utilisateurThe ability to set the userPassword attribute as the effective password on inetOrgPerson and user objects
    • Possibilité de rediriger les conteneurs Utilisateurs et ordinateursThe ability to redirect Users and Computers containers
      • Par défaut, deux conteneurs connus sont fournis pour héberger les comptes d’ordinateurs et d’utilisateurs, à savoir cn=Computers, et cn=Users,.By default, two well-known containers are provided for housing computer and user accounts, namely, cn=Computers, and cn=Users,. Cette fonctionnalité permet de définir un nouvel emplacement connu pour ces comptes.This feature allows the definition of a new, well-known location for these accounts.
    • Possibilité pour le Gestionnaire d’autorisations de stocker ses stratégies d’autorisation dans les services de domaine Active Directory (AD DS)The ability for Authorization Manager to store its authorization policies in AD DS
    • Délégation contrainteConstrained delegation
      • La délégation contrainte permet aux applications de tirer parti de la délégation sécurisée des informations d’identification de l’utilisateur au moyen du protocole d’authentification KerberosConstrained delegation makes it possible for applications to take advantage of the secure delegation of user credentials by means of Kerberos-based authentication.
      • Vous pouvez limiter la délégation à certains services de destination.You can restrict delegation to specific destination services only.
    • Authentification sélectiveSelective authentication
      • L’authentification sélective vous permet de spécifier les utilisateurs et les groupes d’une forêt approuvée autorisés à s’authentifier auprès des serveurs de ressources d’une forêt d’approbation.Selective authentication makes it is possible for you to specify the users and groups from a trusted forest who are allowed to authenticate to resource servers in a trusting forest.

Windows 2000Windows 2000

Système d’exploitation de contrôleur de domaine pris en charge :Supported Domain Controller Operating System:

  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003
  • Windows 2000Windows 2000

Fonctionnalités du niveau fonctionnel de forêt natif Windows 2000Windows 2000 native forest functional level features

  • Toutes les fonctionnalités AD DS par défaut sont disponibles.All of the default AD DS features are available.

Fonctionnalités du niveau fonctionnel de domaine natif Windows 2000Windows 2000 native domain functional level features

  • Toutes les fonctionnalités AD DS par défaut et les fonctionnalités d’annuaire suivantes sont disponibles, notamment :All of the default AD DS features and the following directory features are available including:
    • groupes universels pour les groupes de distribution et les groupes de sécurité ;Universal groups for both distribution and security groups.
    • imbrication de groupes ;Group nesting
    • conversion de groupe, qui permet la conversion entre groupes de sécurité et de distributionGroup conversion, which allows conversion between security and distribution groups
    • historique SID.Security identifier (SID) history

Étapes suivantesNext Steps