Arquivo da categoria: Active Directory

Nível Funcional do Domínio

Nível Funcional do domínio

Existem 4  níveis funcionais de domínio disponíveis no Windows Server 2008: Windows 2000 Nativo, Windows Server 2003 (padrão), Windows Server 2008 e Windows Server 2008 R2.

  • Windows 2000 Nativo

O nível funcional de domínio Windows 2000 nativo oferece suporte aos seguintes controladores de domínio:

  • Windows 2000 Server
  • Windows Server 2003
  • Windows 2008
  • Windows Server 2008 R2

Windows Server 2003

O Nível Funcional de domínio Windows Server 2003 oferece suporte aos seguintes controladores de domínio:

  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2

Windows Server 2008

O Nível Funcional de dominio Windows Server 2008 oferece suporte aos seguintes controladores de domínio:

  • Windows Server 2008
  • Windows Server 2008 R2

Windows Server 2008 R2

O Nível funcional de dominio Windows Server 2008 oferece suporte aos seguintes controladores de domínio:

  • Windows Server 2008 R2

A funcionalidade do dominio habilita os recursos que afetam todo o domínio e somente ele.

Se todos os controladores de domínio no seu domínio ou floresta estiverem executando o Windows Server 2008 R2 e o nível funcional de domínio e de floresta estiverem definidos como Windows Server 2008 R2, todos os recursos de domínio e floresta estarão disponíveis. Quando seu domínio ou floresta contiver controladores de domínio do Windows 2000, 2003 ou 2008, os recursos do Active Directory serão limitados.

Quando você aumenta o nível funcional do domínio, os controladores de domínio executando sistemas operacionais anteriores não podem ser introduzidos no domínio. Por exemplo, se você aumentar o nível funcional do domínio para Windows Server 2008 R2, não poderá adicionar controladores de domínio executando o Windows Server 2008.

A seguir apresento os recursos de domínio que são ativados para os níveis funcionais de domínio no AD DS do Windows Server 2008 R2.

Windows Server 2000 Nativo

Todos os recursos padrão do Active Directory e os seguintes recursos:

  • Os Grupos universais são habilitados para grupos de distribuição e grupos de segurança
  • Aninhamento de grupo
  • A conversão de grupos é habilitada, tornando possível a conversão entre grupos de segurança e grupos de distriuição
  • Histórico de identificados de segurança (SID)

Windows Server 2003

Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows 2000 nativo, além destes:

  • A disponibilidade da ferramenta de gerenciamento do domínio, netedom.exe, para se preparar para renomear o controlador de domínio
  • Atualização do carimbo de data/hora de logon. O atributo LastLogonTimestamp é atualizado com o último horário de logon do usuário ou computador. Este atributo é replicado no domínio.
  • A capacidade de definir o atributo userPassword como a senha efetiva do objeto inetOrgPerson nos objetos de usuários
  • A capacidade de redirecionar contêineres de usuários e computadores. Por padrão, dois contêineres conhecidos são fornecidos para hospedar contas de computador e usuário/grupo: cn=computadores, <raiz do domínio> e cn=Usuários, <raiz do domínio>. Esse recurso possibilita a definição de um novo local conhecido para essas contas.
  • O gerenciador de autorização pode armazenar as diretivas de autorização no AD DS.
  • A delegação limitada é incluida, o que possibilita aos aplicativos tirarem vantagem da delegação segura de credenciais de usuário por meio do protocolo de autenticação Kerberos. Você pode configurar a delegação para que tenha permissão somente para determinados serviços de destino.
  • A autenticação seletiva possui suporte, o que torna possível especificar os usuários e grupos de uma floresta confiável que terão permissão para autenticar servidores de recursos em uma floresta confiante.

Windows Server 2008

Todos os recursos padrão do Active Directory, e todos os recursos do nível funcional de domínio do Windows Server 2003, além destes:

  • Suporte a replicação do sistema de arquivos distribuídos para SYSVOL, o que fornece uma replicação mais robusta e detalhada do conteúdo de SYSVOL.
  • Serviço de criptografia avançados (AES 128 e 256), suporte ao protocolo de autenticação Kerberos.
  • Úlltimas informações de logon interativo, que mostram o horário do último logon interativo bem-sucessido de um usuário, a estação de trabalho que o originou e as falhas nas tentativas de logon desde o último logon.
  • Diretiva de senha refinadas, que possibilitam que as diretivas de senha e de bloqueio de conta sejma especificadas para usuários e grupos de segurança em um dominio.

Windows Server 2008 R2

Todos os recursos padrão do Active Directory, todos os recursos do n;ivel funcional de domínio do Windows Server 2008, além dos seguintes recursos.

  • Garantia do mecanismo de autenticação, que agrupa informações sobre o tipo de método de logon (cartão inteligente ou nome de usuário/senha) usado para autenticar os usuários de dominio dentro do token kerberos de cada usuário. Quando esse recurso é ativado em um ambiente de rede que implantou uma infraestrutura de gerenciamento de identidade federado, como o AD FS (serviço de federação do Active Directory), as informações no token podem ser extraídas sempre que um usuário tentar acessar quaisquer aplicativos com reconhecimento de declarações desenvolvidas para determinar a autorização com base no método de logon de um usuário.

Funcionalidade de Floresta

A funcionalidade de floresta habilita os recursos em todos os domínios da floresta. Existem quatro níveis funcionais de floresta disponíveis no sistema operacional Windows Server 2008 R2: Windows 2000, Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2.

A tabela abaixo lista os níveis funcionais da floresta disponíveis no sistema operacional Windows Server 2008 R2 e em seus controladores de domínio corresposndentes suportados.

  • Windows 2000

Controladores de domínio com suporte:

  • Windows NT 4.0
  • Windows 2000
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2

Windows Server 2003

Controladores de domínio com suporte:

  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2

Windows Server 2008

Controladores de domínio com suporte:

  • Windows Server 2008
  • Windows Server 2008 R2

Windows Server 2008 R2

Controladores de domínio com suporte:

  • Windows Server 2008 R2

Quando você aumenta o nível funcional da floresta, os contrladores de domínio executando sistemas operacionais anteriores não podem ser introduzidos na floresta. Por exemplo, se você aumentar o nível funcional da floresta para o Windows Server 2008 R2, os controladores de domínio executando o Windows Server 2008 não poderam ser adicionados a floresta.

A lista de recursos abaixo descreve os recursos de floresta ativados para os níveis de floresta do Windows Server 2003, do Windows Server 2008 e do Windows Server 2008 R2.

Windows Server 2003

Todos os recursos padrão do Active Directory, além destes:

  • Relação de confiança da floresta
  • Renomeação de domínio
  • Replicação de valor vinculado (altera o armazenamento de associação de grupo e replica valores para membros individuais, em vez de replicar associação inteira como uma única unidade). Isso resulta na redução da largura de banda de rede e de uso do processador durante a replicação e elimina a possibilidade de atualizações perdidas quando diferentes membros são adicionados ou removidos simultaneamente em diferentes controladores de domínio.
  • A capacidade de implantar um RODC (Controlador de domínio somente leitura) que execute o Windows Server 2008
  • Algoritmos e escalabilidade aprimoradas do KCC (Knowlefge Consistency Checker). O gerador de topologia entre sites (ISTG) usa algoritmos aprimorados que são dimensionados para oferecer suporte a florestas com maior número de sites que podem ser suportados no nível funcional da floresta do Windows 2000.
  • A capacidade de criar instâncias da classe auxiliar dinâmica chamada dynamicObject em uma partição do diretório de domínio.
  • A capacidade de converter uma instância do objeto inetOrgPerson em uma instância do objeto User, e vice-versa.
  • A capacidade de criar instâncias dos novos tipos de grupos, chamados grupos de aplicativos básicos e grupos de consulta do protocolo LDAP para oferecer suporte à autorização baseada em função
  • Desativação e redefinição de atributos e classes no esquema.

Windows Server 2008

  • Esse nível funcional fornece todos os recursos disponíveis no nível funcional de floresta do Windows Server 2003, mas nenhum recurso adicional. Entretanto, todos os domínios que forem adicionados subsequentemente à floresta funcionarão no nível funcional de floresta de domínio Windows Server 2008 por padrão.

Windows Server 2008 R2

Todos os recursos disponíveis no nível funcional de floresta do Windows Server 2003, além dos seguintes recursos.

  • Lixeira do Active Directory, que fornece a capacidade de restaurar totalmente os objetos excluídos durante a execução do AD DS.

Todos os domínios adicionados subsequentemente à floresta funcionarão no nível funcional de domínio Windows Server 2008 R2 por padrão.

Se você planeja incluir somente controladores de domínio que executem o Windows Server 2008 R2 na floresta inteira, deverá escolher este nível funcional de floresta para conveniência administrativa. Se o fizer, você nunca terá que elevar o nível funcional de cada domínio que criar na floresta.

Aumentar o nível funcional do domínio

Ao instalar o AD DS (Serviço de Domínio Active Directory) em um servidor executando o Windows Server 2008 R2, um conjunto de recursos básicos do Active Directory é ativado por padrão. Além dos recursos básicos do Active Directory em controladores de domínio individuais, há novos recursos de domínio e de floresta quando todos os controladores em um domínio ou uma floresta executam o Windows Server 2008 R2. Para que novos recursos de dominio sejam ativados, todos os controladores de domínio devem estar executando o Windows Server 2008 R2, e o nível funcional do domínio deve ser aumentado para o Windows Server 2008 R2.

Ser membro do grupo Admins. do Domínio ou administrador corporativo, ou equivalente, é o mínimo necessário para concluir este procedimento.

Para aumentar o nível funcional do domínio

1 – Abra domínios e relações de confiança do active directory. Para abrir dominios e relações de confiança do active directory, clique em iniciar, ferramentas administrativas e dominios e relações de confiança do active directory

2 – Na árvore de console, clique com o botão direito do mouse no dominio para o qual você deseja aumentar o nível funcional e clique em Aumentar o Nível Funcional do Dominio.

3 – Selecione um nível funcional de domínio disponível, siga um destes procedimentos:

  • Para aumentar o nível para 2008 clique em Windows Server 2008 e em aumentar.
  • Para aumentar o nível para 2008 R2, clique em Windows Server 2008 R2 e em aumentar.

Cuidado: Não aumente o nível funcional de domínio para uma versão mais recente (como Windows Server 2008 ou Windows Server 2008 R2) se houver algum controlador de domínio executando uma versão anterior do Windows Server.

Importante: Após definição do nível funcional de domínio para um valor determinado, não será possível reverter ou diminuir o nível funcional de domínio, com uma exceção: ao elevar o nível funcional de domínio para Windows Server 2008 R2 e se o nível funcional da floresta for Windows Server 2008 ou infeior, você terá opção de reverter o nível funcional de dominio para Windows Server 2008. Você pode diminuir o nível funcional de domínio apenas de Windows Server 2008 R2 para Windows Server 2008. Se o nível funcional de domínio estiver definido como Windows Server 2008 R2, ele não poderá ser revertido, por exemplo, para Windows Server 2003.

Considerações Gerais

  • Também é possivel aumentar o nível funcional de domínio clicando com o botão direito do mouse em um domínio no snap-in usuários e computadores do active directory e em aumentar nível funcional do domínio.
  • O nível funcional de domínio atual é exibido em nível funcional atual do dominio, na caixa de diálogo aumentar nível funcional do domínio.
  • Para executar este procedimento, você deve ser um membro do grupo admins. do dominio ou administradores corporativos no ADDS, ou autoridade adequada deve ter sido delegada a você. Como uma prática recomendada de segurança é aconselhável usar o executar como para executá-lo.
  • Também é possivel executar a tarefa deste procedimento usando o módulo Active Directory para o Windows Power shell. Para abrir o módulo Active Directory, clique em iniciar, clique em ferramentas administrativas e em módulo do active directory para Windows Power Shell.
Anúncios

Considerações importantes sobre controladores de domínio do Active Directory

O processo de atualização do Windows Server 2003 para o Windows Server 2008 exige espaço livre em disco para a imagem do novo sistema operacional, para o processo de instalação e para qualquer função de servidor instalada.

Para a função de controlador de domínio, o volume ou volumes que hospedem os recursos a seguir também possuem requisitos de espaço livre em disco específicos:

  • Dados de aplicativo (%AppData%)
  • Arquivos de programas (%ProgramFiles%)
  • Dados do usuário (%SystemDrive%\Documents and Settings)
  • Diretório do Windows® (%WinDir%)

O espaço livre no volume %WinDir% deve ser igual ou maior ao tamanho atual dos recursos listados anteriormente e suas pastas subordinadas quando estão localizados no volume %WinDir%. Por padrão, dcpromo posiciona o banco de dados e os arquivos de log do Active Directory® em %Windir% — nesse caso, seu tamanho seria incluído nos requisitos de espaço em disco para a pasta %Windir%.

No entanto, se o banco de dados do Active Directory não estiver hospedado em nenhuma das pastas anteriores, o volume ou volumes host deverão conter espaço livre adicional igual a pelo menos 10% do tamanho atual do banco de dados ou 250 MB, o que for maior. Por fim, o espaço livre no volume que hospeda os arquivos de log deve ser de pelo menos 50 MB.

Uma instalação padrão do serviço de diretório Active Directory do Windows Server 2003 posiciona o banco de dados e os arquivos de log do Active Directory em %WinDir%\NTDS. Com essa configuração, o arquivo de banco de dados NTDS.DIT e todos os arquivos de log são copiados temporariamente para o local de quarentena e depois são copiados de volta à sua posição original. É por isso que é necessário haver espaço livre para esses recursos. No entanto, o diretório SYSVOL, que também fica sob %WinDir% (%WinDir%\SYSVOL), é movido e não copiado. Portanto, não exige qualquer espaço livre adicional.

Depois da atualização, o espaço reservado para os recursos copiados serão devolvidos ao sistema de arquivos.

Informações importantes para sistemas operacionais baseados em x64

Verifique se possui drivers de modo kernel atualizados e digitalmente assinados para versões baseadas em x64 do Windows Server 2008 (entre eles estão as versões de 64 bits do Windows Server 2008, exceto o Windows Server 2008 para sistemas baseados em Itanium).

Se você instalar um dispositivo Plug and Play, poderá receber um aviso de que o driver não está assinado digitalmente. Se você instalar um aplicativo contendo um driver que não esteja assinado digitalmente, não receberá um erro durante o Programa de Instalação. Nos dois casos, o Windows Server 2008 não carregará o driver não assinado.

Se você não souber se o driver está assinado digitalmente, ou se não conseguir reiniciar o computador depois da instalação, use o procedimento a seguir para desabilitar o requisito de assinatura do driver. Este procedimento permite que o computador seja iniciado corretamente e que o driver não assinado seja carregado com êxito.

com êxito.

Para desabilitar o requisito de assinatura para o processo de inicialização atual:

  1. Reinicie o computador e durante a inicialização, pressione F8.
  2. Selecione Opções de Inicialização Avançadas.
  3. Selecione Desabilitar Imposição de Assinatura de Driver.
  4. Inicie o Windows e desinstale o driver não assinado.