Niveaux fonctionnels de forêt et du domaineForest and Domain Functional Levels

S'applique à : Windows ServerApplies To: Windows Server

Niveaux fonctionnels de déterminent les fonctionnalités disponibles de domaine ou forêt de Services de domaine Active Directory (AD DS).Functional levels determine the available Active Directory Domain Services (AD DS) domain or forest capabilities. Elles déterminent également quels systèmes d’exploitation de Windows Server que vous pouvez exécuter sur les contrôleurs de domaine dans le domaine ou la forêt.They also determine which Windows Server operating systems you can run on domain controllers in the domain or forest. Toutefois, les niveaux fonctionnels n’affectent pas les systèmes d’exploitation que vous pouvez exécuter sur les stations de travail et les serveurs membres qui sont joints au domaine ou forêt.However, functional levels do not affect which operating systems you can run on workstations and member servers that are joined to the domain or forest.

Lorsque vous déployez les services AD DS, définir les niveaux fonctionnels de domaine et de forêt à la valeur la plus élevée que votre environnement peut prendre en charge.When you deploy AD DS, set the domain and forest functional levels to the highest value that your environment can support. De cette façon, vous pouvez utiliser les fonctionnalités AD DS autant que possible.This way, you can use as many AD DS features as possible. Lorsque vous déployez une nouvelle forêt, vous êtes invité pour définir le niveau fonctionnel de forêt, puis définissez le niveau fonctionnel du domaine.When you deploy a new forest, you are prompted to set the forest functional level and then set the domain functional level. Vous pouvez définir le niveau fonctionnel du domaine à une valeur qui est plus élevée que le niveau fonctionnel de forêt, mais vous ne peut pas définir le niveau fonctionnel du domaine à une valeur inférieure à celle du niveau fonctionnel de forêt.You can set the domain functional level to a value that is higher than the forest functional level, but you cannot set the domain functional level to a value that is lower than the forest functional level.

Avec la fin de vie de Windows 2003, Windows 2003 des contrôleurs de domaine (DC) doivent être mis à jour vers Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016 ou 2019.With the end of life of Windows 2003, Windows 2003 domain controllers (DCs) need to be updated to Windows Server 2008, 2008R2, 2012, 2012R2, 2016, or 2019. Par conséquent, n’importe quel contrôleur de domaine qui exécute Windows Server 2003 doit être supprimé du domaine.As a result, any domain controller that runs Windows Server 2003 should be removed from the domain.

Au plus élevés niveaux fonctionnels de domaine et à Windows Server 2008, la réplication du Service de fichiers distribués (DFS, Distributed File System) est utilisée pour répliquer le contenu du dossier SYSVOL entre les contrôleurs de domaine.At the Windows Server 2008 and higher domain functional levels, Distributed File Service (DFS) Replication is used to replicate SYSVOL folder contents between domain controllers. Si vous créez un nouveau domaine de niveau fonctionnel de domaine Windows Server 2008 ou version ultérieure, la réplication DFS est automatiquement utilisée pour répliquer SYSVOL.If you create a new domain at the Windows Server 2008 domain functional level or higher, DFS Replication is automatically used to replicate SYSVOL. Si vous avez créé le domaine à un niveau fonctionnel inférieur, vous devez migrer à partir de l’utilisation de FRS pour la réplication DFS pour SYSVOL.If you created the domain at a lower functional level, you will need to migrate from using FRS to DFS replication for SYSVOL. Pour les étapes de migration, vous pouvez soit suivre les procédures sur TechNet ou vous pouvez faire référence à la rationalisé l’ensemble d’étapes sur le blog de l’équipe stockage fichier CAB du fichier.For migration steps, you can either follow the procedures on TechNet or you can refer to the streamlined set of steps on the Storage Team File Cabinet blog.

Windows Server 2019Windows Server 2019

Il n’existe aucune nouvelle forêt ou les niveaux fonctionnels de domaine ajoutées dans cette version.There are no new forest or domain functional levels added in this release.

La configuration minimale requise pour ajouter un contrôleur de domaine Windows Server 2019 est un niveau fonctionnel de Windows Server 2008.The minimum requirement to add a Windows Server 2019 Domain Controller is a Windows Server 2008 functional level. Le domaine doit également utiliser DFS-R en tant que le moteur pour répliquer SYSVOL.The domain also has to use DFS-R as the engine to replicate SYSVOL.

Windows Server 2016Windows Server 2016

Prise en charge du système d’exploitation du contrôleur de domaine :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016

Fonctionnalités au niveau fonctionnelles de forêt Windows Server 2016Windows Server 2016 forest functional level features

Fonctionnalités au niveau fonctionnelles du domaine Windows Server 2016Windows Server 2016 domain functional level features

  • Toutes les fonctionnalités d’Active Directory par défaut, toutes les fonctionnalités de Windows Server 2012 R2 niveau fonctionnel du domaine, ainsi que les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2012R2 domain functional level, plus the following features:
    • Contrôleurs de domaine peuvent prendre en charge la restauration automatique de NTLM et autres secrets en fonction du mot de passe sur un compte d’utilisateur configuré pour exiger une authentification de l’infrastructure à clé publique.DCs can support automatic rolling of the NTLM and other password-based secrets on a user account configured to require PKI authentication. Cette configuration est également appelé « Carte à puce requise pour l’ouverture de session interactive »This configuration is also known as “Smart card required for interactive logon”

    • Contrôleurs de domaine peuvent prendre en charge réseau autorisant NTLM lorsqu’un utilisateur est limité à des appareils joints au domaine.DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices.

    • Les clients Kerberos avec succès l’authentification avec l’Extension de fraîcheur PKInit obtiennent l’identité de clé publique fraîche SID.Kerberos clients successfully authenticating with the PKInit Freshness Extension will get the fresh public key identity SID.

      Pour plus d’informations, consultez What ' s New in Kerberos Authentication et Nouveautés de la Protection des informations d’identificationFor more information see What's New in Kerberos Authentication and What's new in Credential Protection

Windows Server 2012 R2Windows Server 2012R2

Prise en charge du système d’exploitation du contrôleur de domaine :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2

Fonctionnalités au niveau fonctionnelles de Windows Server 2012 R2 forêtWindows Server 2012R2 forest functional level features

  • Toutes les fonctionnalités qui sont disponibles dans Windows Server 2012 des fonctionnalités de niveau, mais aucune supplémentaires fonctionnelles de forêt.All of the features that are available at the Windows Server 2012 forest functional level, but no additional features.

Fonctionnalités au niveau fonctionnelles de Windows Server 2012 R2 domaineWindows Server 2012R2 domain functional level features

  • Toutes les fonctionnalités d’Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel du domaine Windows Server 2012, ainsi que les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2012 domain functional level, plus the following features:
    • Protections côté contrôleur de domaine pour les utilisateurs protégés.DC-side protections for Protected Users. Protégé par l’authentification des utilisateurs à un domaine ne peut plus Windows Server 2012 R2 :Protected Users authenticating to a Windows Server 2012 R2 domain can no longer:
      • Authentifier avec l’authentification NTLMAuthenticate with NTLM authentication
      • Utilisez les suites de chiffrement DES ou RC4 dans la pré-authentification KerberosUse DES or RC4 cipher suites in Kerberos pre-authentication
      • Être délégués avec délégation non contrainte ou contrainteBe delegated with unconstrained or constrained delegation
      • Renouveler les tickets utilisateur (TGT) au-delà de la durée de vie initiale de 4 heuresRenew user tickets (TGTs) beyond the initial 4 hour lifetime
    • Stratégies d'authentificationAuthentication Policies
      • Nouvelle forêt Active Directory stratégies qui peuvent être appliquées aux comptes dans des domaines Windows Server 2012 R2 pour contrôler les hôtes un compte peut l’authentification à partir d’et appliquer des conditions de contrôle d’accès pour l’authentification pour les services qui s’exécutent en tant que compte.New forest-based Active Directory policies which can be applied to accounts in Windows Server 2012 R2 domains to control which hosts an account can sign-on from and apply access control conditions for authentication to services running as an account.
    • Silos de stratégies d'authentificationAuthentication Policy Silos
      • Nouvelle forêt Active Directory objet, ce qui peut créer une relation entre les comptes d’utilisateur, service géré et ordinateur, à utiliser pour classer les comptes pour les stratégies d’authentification ou pour l’isolation de l’authentification.New forest-based Active Directory object, which can create a relationship between user, managed service and computer, accounts to be used to classify accounts for authentication policies or for authentication isolation.

Windows Server 2012Windows Server 2012

Prise en charge du système d’exploitation du contrôleur de domaine :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012

Fonctionnalités au niveau fonctionnelles de forêt Windows Server 2012Windows Server 2012 forest functional level features

  • Toutes les fonctionnalités qui sont disponibles dans Windows Server 2008 R2 des fonctionnalités de niveau, mais aucune supplémentaires fonctionnelles de forêt.All of the features that are available at the Windows Server 2008 R2 forest functional level, but no additional features.

Fonctionnalités au niveau fonctionnelles du domaine Windows Server 2012Windows Server 2012 domain functional level features

  • Toutes les fonctionnalités d’Active Directory par défaut, toutes les fonctionnalités de Windows Server 2008 R2 niveau fonctionnel du domaine, ainsi que les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2008R2 domain functional level, plus the following features:
    • La prise en charge des revendications, l’authentification composée et Kerberos blindage KDC d’administration de stratégie de modèle a deux paramètres (toujours fournir des revendications et rejeter les demandes d’authentification non blindées) qui nécessitent le niveau fonctionnel du domaine Windows Server 2012.The KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. Pour plus d’informations, consultez What ' s New in Kerberos AuthenticationFor more information, see What's New in Kerberos Authentication

Windows Server 2008R2Windows Server 2008R2

Prise en charge du système d’exploitation du contrôleur de domaine :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2

Fonctionnalités au niveau fonctionnelles de Windows Server 2008 R2 forêtWindows Server 2008R2 forest functional level features

  • Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2003, plus les fonctionnalités suivantes :All of the features that are available at the Windows Server 2003 forest functional level, plus the following features:
    • La corbeille Active Directory offre la possibilité de restaurer des objets supprimés dans leur intégralité pendant que les services de domaine Active Directory sont en cours d’exécution.Active Directory Recycle Bin, which provides the ability to restore deleted objects in their entirety while AD DS is running.

Fonctionnalités au niveau fonctionnelles de Windows Server 2008 R2 domaineWindows Server 2008R2 domain functional level features

  • Toutes les fonctionnalités d’Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel du domaine de Windows Server 2008, ainsi que les fonctionnalités suivantes :All default Active Directory features, all features from the Windows Server 2008 domain functional level, plus the following features:
    • L’assurance du mécanisme d’authentification stocke des informations sur le type de méthode d’ouverture de session (carte à puce ou nom d’utilisateur/mot de passe) utilisé pour authentifier les utilisateurs d’un domaine à l’intérieur du jeton Kerberos de chaque utilisateur.Authentication mechanism assurance, which packages information about the type of logon method (smart card or user name/password) that is used to authenticate domain users inside each user’s Kerberos token. Lorsque cette fonctionnalité est activée dans un environnement réseau qui a déployé une infrastructure de gestion fédérée des identités, telles que Active Directory Federation Services (ADFS), les informations contenues dans le jeton peuvent ensuite être extraites chaque fois qu’un utilisateur tente d’accéder à tous application prenant en charge les revendications qui a été développée pour déterminer l’autorisation basée sur une méthode de l’utilisateur d’ouverture de session.When this feature is enabled in a network environment that has deployed a federated identity management infrastructure, such as Active Directory Federation Services (AD FS), the information in the token can then be extracted whenever a user attempts to access any claims-aware application that has been developed to determine authorization based on a user’s logon method.
    • Gestion automatique des SPN pour les services qui s’exécutent sur un ordinateur particulier dans le contexte d’un compte de Service géré lorsque le nom DNS ou le nom d’hôte des modifications de compte d’ordinateur.Automatic SPN management for services running on a particular computer under the context of a Managed Service Account when the name or DNS host name of the machine account changes. Pour plus d’informations sur les comptes de Service administrés, consultez Guide pas à pas de comptes de Service.For more information about Managed Service Accounts, see Service Accounts Step-by-Step Guide.

Windows Server 2008Windows Server 2008

Prise en charge du système d’exploitation du contrôleur de domaine :Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008

Fonctionnalités au niveau fonctionnelles de forêt Windows Server 2008Windows Server 2008 forest functional level features

  • Toutes les fonctionnalités qui sont disponibles pour le niveau fonctionnel de forêt Windows Server 2003, mais pas de fonctionnalités supplémentaires sont disponibles.All of the features that are available at the Windows Server 2003 forest functional level, but no additional features are available.

Fonctionnalités au niveau fonctionnelles du domaine Windows Server 2008Windows Server 2008 domain functional level features

  • Tous de la valeur par défaut AD DS les fonctionnalités, toutes les fonctionnalités à partir du niveau fonctionnel du domaine Windows Server 2003, et les fonctionnalités suivantes sont disponibles :All of the default AD DS features, all of the features from the Windows Server 2003 domain functional level, and the following features are available:
    • Support de réplication distribués DFS (File System) pour le Volume du système Windows Server 2003 (SYSVOL)Distributed File System (DFS) replication support for the Windows Server 2003 System Volume (SYSVOL)

      • Prise en charge de la réplication DFS fournit une réplication plus fiable et granulaire du contenu de SYSVOL.DFS replication support provides more robust and detailed replication of SYSVOL contents.

        Notes

        À compter de Windows Server 2012 R2, Service de réplication de fichiers (FRS) est déconseillée.Beginning with Windows Server 2012 R2, File Replication Service (FRS) is deprecated. Un nouveau domaine est créé sur un contrôleur de domaine qui s’exécute au moins Windows Server 2012 R2 doit être définie sur le niveau fonctionnel de domaine Windows Server 2008 ou version ultérieure.A new domain that is created on a domain controller that runs at least Windows Server 2012 R2 must be set to the Windows Server 2008 domain functional level or higher.

    • Basés sur domaine espaces de noms DFS en cours d’exécution en Mode Windows Server 2008, qui inclut la prise en charge de l’énumération basée sur l’accès et une meilleure évolutivité.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Espaces de noms basés sur le domaine en mode Windows Server 2008 requièrent également la forêt à utiliser le niveau fonctionnel de forêt Windows Server 2003.Domain-based namespaces in Windows Server 2008 mode also require the forest to use the Windows Server 2003 forest functional level. Pour plus d’informations, consultez choisir un Type de Namespace.For more information, see Choose a Namespace Type.

    • Advanced Encryption Standard (AES 128 et AES 256) prise en charge le protocole Kerberos.Advanced Encryption Standard (AES 128 and AES 256) support for the Kerberos protocol. Dans l’ordre pour les tickets TGT doit être émis à l’aide d’AES, le niveau fonctionnel du domaine doit être Windows Server 2008 ou version ultérieure et le mot de passe de domaine doit être modifiée.In order for TGTs to be issued using AES, the domain functional level must be Windows Server 2008 or higher and the domain password needs to be changed.

      • Pour plus d’informations, consultez améliorations liées à Kerberos.For more information, see Kerberos Enhancements.

        Notes

        Erreurs d’authentification peuvent se produire sur un contrôleur de domaine après le déclenchement de niveau fonctionnel du domaine vers Windows Server 2008 ou version ultérieure si le contrôleur de domaine a déjà répliqué la modification du niveau fonctionnel du domaine, mais le mot de passe krbtgt n’a pas encore actualisé.Authentication errors may occur on a domain controller after the domain functional level is raised to Windows Server 2008 or higher if the domain controller has already replicated the DFL change but has not yet refreshed the krbtgt password. Dans ce cas, un redémarrage du service KDC sur le contrôleur de domaine déclenche une actualisation en mémoire du nouveau mot de passe krbtgt et résoudre les erreurs d’authentification associées.In this case, a restart of the KDC service on the domain controller will trigger an in-memory refresh of the new krbtgt password and resolve related authentication errors.

    • Dernière ouverture de session Interactive informations affichent les informations suivantes :Last Interactive Logon Information displays the following information:

      • Le nombre total de tentatives de connexion à un serveur Windows Server 2008 joints au domaine ou une station de travail Windows VistaThe total number of failed logon attempts at a domain-joined Windows Server 2008 server or a Windows Vista workstation
      • Le nombre total de tentatives de connexion après une ouverture de session pour un serveur Windows Server 2008 ou une station de travail Windows VistaThe total number of failed logon attempts after a successful logon to a Windows Server 2008 server or a Windows Vista workstation
      • L’heure de la dernière tentative d’ouverture de session ayant échoué à un serveur Windows Server 2008 ou une station de travail Windows VistaThe time of the last failed logon attempt at a Windows Server 2008 or a Windows Vista workstation
      • L’heure de la dernière ouverture de session réussie tentative sur un serveur Windows Server 2008 ou une station de travail Windows VistaThe time of the last successful logon attempt at a Windows Server 2008 server or a Windows Vista workstation
    • Stratégies de mot de passe affinées permettent de spécifier des stratégies de verrouillage de compte et mot de passe pour les utilisateurs et groupes de sécurité globaux dans un domaine.Fine-grained password policies make it possible for you to specify password and account lockout policies for users and global security groups in a domain. Pour plus d’informations, consultez Guide pas à pas pour la Configuration de stratégie de verrouillage de compte et de mot de passe affinées.For more information, see Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration.

    • Bureaux virtuels personnelsPersonal Virtual Desktops

Windows Server 2003Windows Server 2003

Prise en charge du système d’exploitation du contrôleur de domaine :Supported Domain Controller Operating System:

  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003

Fonctionnalités au niveau fonctionnelles de forêt Windows Server 2003Windows Server 2003 forest functional level features

  • Toutes les fonctionnalités par défaut AD DS et les fonctionnalités suivantes, sont disponibles :All of the default AD DS features, and the following features, are available:
    • Approbation de forêtForest trust
    • changement de nom de domaine ;Domain rename
    • Réplication de valeurs liéesLinked-value replication
      • Réplication de valeurs liées rend possible de modifier l’appartenance au groupe pour stocker et répliquer des valeurs pour les membres individuels au lieu de répliquer l’ensemble de l’appartenance comme une seule unité.Linked-value replication makes it possible for you to change group membership to store and replicate values for individual members instead of replicating the entire membership as a single unit. Stocker et répliquer les valeurs des membres individuels utilise moins de bande passante réseau et moins de cycles processeur lors de la réplication et vous empêche de perdre des mises à jour lorsque vous ajoutez ou supprimez plusieurs membres simultanément à différents contrôleurs de domaine.Storing and replicating the values of individual members uses less network bandwidth and fewer processor cycles during replication, and prevents you from losing updates when you add or remove multiple members concurrently at different domain controllers.
    • La possibilité de déployer un contrôleur de domaine en lecture seule (RODC)The ability to deploy a read-only domain controller (RODC)
    • Algorithmes du vérificateur de cohérence des connaissances (KCC) et l’évolutivité amélioréesImproved Knowledge Consistency Checker (KCC) algorithms and scalability
      • Le Générateur de topologie intersite (ISTG) utilise des algorithmes améliorés qui s’adaptent pour prendre en charge des forêts avec un plus grand nombre de sites que les services AD DS peut prendre en charge au niveau fonctionnel de forêt Windows 2000.The intersite topology generator (ISTG) uses improved algorithms that scale to support forests with a greater number of sites than AD DS can support at the Windows 2000 forest functional level. L’algorithme d’élection ISTG améliorée est un mécanisme moins intrusive pour la sélection d’ISTG au niveau fonctionnel de forêt Windows 2000.The improved ISTG election algorithm is a less-intrusive mechanism for choosing the ISTG at the Windows 2000 forest functional level.
    • La possibilité de créer des instances de la classe auxiliaire dynamique appelée dynamicObject dans une partition d’annuaire de domaineThe ability to create instances of the dynamic auxiliary class named dynamicObject in a domain directory partition
    • La possibilité de convertir un inetOrgPerson instance d’objet dans un utilisateur instance d’objet et pour terminer la conversion dans la direction opposéeThe ability to convert an inetOrgPerson object instance into a User object instance, and to complete the conversion in the opposite direction
    • La possibilité de créer des instances de nouveaux types de groupe pour prendre en charge d’autorisation en fonction du rôle.The ability to create instances of new group types to support role-based authorization.
      • Ces types sont appelés groupes de base d’application et les groupes de requêtes LDAP.These types are called application basic groups and LDAP query groups.
    • désactivation et redéfinition des attributs et classes du schéma.Deactivation and redefinition of attributes and classes in the schema. Les attributs suivants peuvent être réutilisées : ldapDisplayName, schemaIdGuid, OID et mapiID.The following attributes can be reused: ldapDisplayName, schemaIdGuid, OID, and mapiID.
    • Basés sur domaine espaces de noms DFS en cours d’exécution en Mode Windows Server 2008, qui inclut la prise en charge de l’énumération basée sur l’accès et une meilleure évolutivité.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Pour plus d’informations, consultez choisir un Type de Namespace.For more information, see Choose a Namespace Type.

Fonctionnalités au niveau fonctionnelles du domaine Windows Server 2003Windows Server 2003 domain functional level features

  • Toutes les fonctionnalités par défaut les services AD DS, toutes les fonctionnalités qui sont disponibles pour le niveau fonctionnel de domaine en mode natif de Windows 2000 et les fonctionnalités suivantes sont disponibles :All the default AD DS features, all the features that are available at the Windows 2000 native domain functional level, and the following features are available:
    • L’outil de gestion de domaine, Netdom.exe, ce qui permet de renommer les contrôleurs de domaineThe domain management tool, Netdom.exe, which makes it possible for you to rename domain controllers
    • Met à jour de la date et heure d’ouverture de sessionLogon time stamp updates
      • (L’attribut lastLogonTimestamp est mis à jour avec l’heure de la dernière ouverture de session de l’utilisateur ou ordinateur.The lastLogonTimestamp attribute is updated with the last logon time of the user or computer. Cet attribut est répliqué au sein du domaine.) ;This attribute is replicated within the domain.
    • La possibilité de définir le userPassword d’attribut en tant que le mot de passe efficace sur inetOrgPerson et les objets utilisateurThe ability to set the userPassword attribute as the effective password on inetOrgPerson and user objects
    • La possibilité de rediriger les utilisateurs et ordinateurs conteneursThe ability to redirect Users and Computers containers
      • Par défaut, deux conteneurs connus sont fournis pour héberger les comptes d’ordinateur et utilisateur, à savoir, cn = Computers, et cn = Users,.By default, two well-known containers are provided for housing computer and user accounts, namely, cn=Computers, and cn=Users,. Cette fonctionnalité permet la définition d’un nouvel emplacement connu pour ces comptes.This feature allows the definition of a new, well-known location for these accounts.
    • La possibilité de gestionnaire d’autorisations de stocker ses stratégies d’autorisation dans AD DSThe ability for Authorization Manager to store its authorization policies in AD DS
    • Délégation contrainteConstrained delegation
      • La délégation contrainte rend possible pour les applications tirer parti de la délégation sécurisée des informations d’identification de l’utilisateur au moyen de l’authentification Kerberos.Constrained delegation makes it possible for applications to take advantage of the secure delegation of user credentials by means of Kerberos-based authentication.
      • Vous pouvez limiter la délégation aux services de destination spécifique.You can restrict delegation to specific destination services only.
    • Authentification sélectiveSelective authentication
      • Rend l’authentification sélective qu'il est possible que vous devez spécifier les utilisateurs et groupes d’une forêt approuvée autorisés à s’authentifier auprès des serveurs de ressources dans une forêt d’approbation.Selective authentication makes it is possible for you to specify the users and groups from a trusted forest who are allowed to authenticate to resource servers in a trusting forest.

Windows 2000Windows 2000

Prise en charge du système d’exploitation du contrôleur de domaine :Supported Domain Controller Operating System:

  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003
  • Windows 2000Windows 2000

Fonctionnalités au niveau fonctionnelles de forêt natif Windows 2000Windows 2000 native forest functional level features

  • Toutes les fonctionnalités par défaut AD DS sont disponibles.All of the default AD DS features are available.

Fonctionnalités au niveau fonctionnelles du domaine en mode natif Windows 2000Windows 2000 native domain functional level features

  • Toutes les fonctionnalités par défaut AD DS et les fonctionnalités de répertoire suivantes sont notamment disponibles :All of the default AD DS features and the following directory features are available including:
    • Groupes universels pour les groupes de distribution et de sécurité.Universal groups for both distribution and security groups.
    • Imbrication de groupesGroup nesting
    • Conversion de groupe, ce qui permet la conversion entre les groupes de sécurité et de distributionGroup conversion, which allows conversion between security and distribution groups
    • Historique de sécurité (SID) d’identificateurSecurity identifier (SID) history

Étapes suivantesNext Steps