Функциональный уровень доменов
Функциональный уровень, на котором находится домен, определяет набор функциональных возможностей, доступных для этого домена. В табл. 19.1 перечислены существующие функциональные уровни домена и допустимые типы контроллеров домена.
Таблица 19.1. Функциональные уровни домена.
Функциональный уровень | Допустимые контроллеры домена |
---|---|
Windows 2000 mixed | Windows NT, Windows 2000, Windows Server 2003 |
Windows 2000 native | Windows 2000, Windows Server 2003 |
Windows Server 2003 | Только Windows Server 2003 |
Уровни Windows 2000 mixed и Windows 2000 native соответствуют смешанному и основному режимам функционирования домена Windows 2000. Охарактеризуем каждый из функциональных уровней.
Windows 2000 mixed.
Этот функциональный уровень допускает сосуществование в домене контроллеров домена, находящихся под управлением различных операционных систем (Windows NT/2000 и Windows Server 2003). Контроллеры домена Windows NT могут существовать в системе только в качестве резервных контроллеров домена (Backup Domain Controller, BDC). Один из контроллеров домена (Windows 2000 или Windows Server 2003) выступает для резервных контроллеров домена Windows NT в качестве основного контроллера домена Windows NT (Primary Domain Controller, PDC). На данном уровне недоступен ряд возможностей Windows 2000 доменов – универсальные (universal) группы безопасности, вложенность групп и т. д. Все создаваемые домены по умолчанию находятся на этом функциональном уровне.
Windows 2000 native.
Данный функциональный уровень ограничивает перечень используемых контроллеров доменов (Windows 2000 и Windows Server 2003). Это объясняется тем, что в домене больше не поддерживается механизм NTLM-репликации, используемый Windows NT. Тем не менее, клиенты могут работать под управлением любых операционных систем. На этом функциональном уровне становятся доступны все возможности Windows 2000 доменов. Однако ряд функциональных возможностей Windows Server 2003 недоступен – возможность переименования контроллеров домена, использование объектов класса InetOrgPerson, номера версий ключей Kerberos.
Windows Server 2003.
Если домен переведен на этот функциональный уровень, в нем допускается использование только контроллеров домена Windows Server 2003. На этом уровне становятся доступны все функциональные возможности службы каталога Windows Server 2003.
Существует одно серьезное ограничение, связанное с использованием функциональных уровней. Архитектура службы каталога допускает только повышение функционального уровня. Другими словами, если домен находится на уровне Windows Server 2003, он не может быть переведен на уровни Windows 2000 mixed или даже Windows 2000 native. Это обусловлено принципиальными изменениями, происходящими в каталоге после повышения функционального уровня.
Не требуется, чтобы все домены леса (или дерева доменов) находились на одном функциональном уровне. Тем не менее, функциональный уровень доменов определяет функциональный уровень леса.