Windows域与森林(修订)

提升域功能级别和林功能级别提升域功能级别和林功能级别一、概念在Windows Server 2008 R2 AD DS域服务中的域和林功能，提供了一种可以在网络境中启用全域性功能或全林性功能的方法，不同的网络环境，则有不同的域功能和林功能级别。

如果域或林中的所有域控制器运行的都是Windows Server 2008 R2,并且域和林功能级别设置为Windows Server 2008 R2,则所有全域性功能和全林性功能都可用。

如果域或林中有Windows Server 2000、Windows Server 2003或Windows Server 2008域控制器，则AD功能将受到限制。

二、域功能域功能启用了可影响整个域以及仅影响该域的功能。

在Windows Server 2008 R2 AD DS中，有四个可用的域功能级别：Windows 2000纯模式、Windows Server 2003（默认值）、Windows Server 2008、Windows Server 2008 R2.下表列出了域功能级别及其相应支持的域控制器和该功能级别启用的功能。

三、林功能林功能启用了林中所有域上的功能。

在Windows Server 2008 R2操作系统中有四个可用的林功能级别：Windows 2000、Windows Server 2003（默认值）、Windows Server 2008和Windows Server 2008 R2。

下表列出了Windows Server 2008 R2操作系统中可用的林功能级别及相应支持的域控制器和启用的功能。

四、提升域功能级别1、使用域管理员帐号登录到域PDC上；2、依次单击“开始”—“管理工具”—“Active Directory 域和信任关系”。

3、在控制台树中，右键单击要提升其功能级别的域，然后单击“提升域功能级别”。

4、在“选择一个可用的域功能级别”中，执行下列操作之一：∙若要将域功能级别提升到 Windows Server 2008，请单击“Windows Server 2008”，然后单击“提升”。

活动目录是由组织单元、域（domain）、域树（tree）、森林（forest）构成的层次结构。

域作为最基本的管理单元，同时也是最基层的容器，它可以对员工、计算机等基本数据进行存储。

在一个活动目录中可以根据需要建立多个域，比方说“甲公司”的财务科、人事科、销售科就可以各建一个域，因为这几个域同属甲公司，所以就可以将这几个域构成一棵域树并交给域树管理，这棵域树就是甲公司。

又因为，甲公司、乙公司、丙公司都归属A集团，那么为了让A集团可以更好地管理这三家子公司，就可以将这三家公司的域树集中起来组成域森林（即A集团）。

因此A集团可以按“子公司（域树）→部门→员工”的方式进行层次分明的管理。

活动目录这种层次结构使企业网络具有极强的扩展性，便于组织、管理以及目录定位。

假设甲公司的人事科现在需要更名为人力资源部，那么它的域名“人事科.甲公司.A集团”就必须更改为“人力资源部.甲公司.A集团”，这时就出现了域更名需求。

在Windows Server 2003中，这个域更名操作可在“域更名”工具的帮助下几分钟内完成。

Windows Server林功能详解Windows Server 操作系统林功能级别的设置决定了在域或者林中所启用的AD DS 功能，以及哪个版本的Windows Server 可以作为域或者林中的域控制器……Windows Server 操作系统林功能级别的设置决定了在域或者林中所启用的AD DS 功能，以及哪个版本的Windows Server 可以作为域或者林中的域控制器。

随着Windows Server 操作系统版本号的增加，其功能也在逐步丰富和完善，自Windows Server 2003 开始，在配置AD 时就可以选择不同的林功能级别来满足不同的需求，在Windows Server 2008 中，可以选择的林功能级别更加丰富，它支持Windows 2000，、Windows Server 2003 和Windows Server 2008。

但是需要注意的是，在Windows Server 系统中，所有的林功能级别都是向下兼容的，但是不支持向上兼容，即Windows Server 2003 支持Windows 2000 林功能级别，但是Windows 2000 并不支持Windows Server 2003 林功能级别。

在Windows Server 的配置向导中，虽然有相关林功能级别的说明，但并不是非常详细，本文将对Windows Server 中的林功能级别做一个详细的说明：Windows 2000--------------------------------------------------------------------------------可用功能：所有默认的AD DS 功能都可用Windows Server 2003--------------------------------------------------------------------------------可用功能：所有默认AD DS 功能，以及下列功能：林信任域重命名链接值复制部署只读域控制器改进的知识一致性检查器(KCC)算法和可伸缩性改进的ISTG 算法在域目录分区中创建名为dynamicObject 的动态辅助类实例的功能讲一个inetOrgPerson 对象实例转换为一个User 对象实例以及完成相反转换的功能创建新组类型实例来支持基于角色进行授权的功能架构中属性和类的停用和重新定义Windows Server 2008--------------------------------------------------------------------------------可用功能：支持所有Windows Server 2003 林功能级别中的所有功能，但是没有其他可用的功能。

windows域域的含义域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust Relation)。

信任关系是连接在域与域之间的桥梁。

当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。

域既是Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows 网络操作系统中，域是安全边界。

域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域，每个域都有自己的安全策略，以及它与其他域的安全信任关系。

域的原理其实可以把域和工作组联系起来理解，在工作组上你一切的设置在本机上进行包括各种策略，用户登陆也是登陆在本机的，密码是放在本机的数据库来验证的。

而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登陆.如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。

“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

一提到组合，势必需要严格的控制。

所以实行严格的管理对网络安全是非常必要的。

在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。

尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。

在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

win2019 server 林的功能级别Win2019 Server林的功能级别是指Windows Server 2019操作系统在林（Domain）或者林中的域（Domain Functional Level）上提供的功能和特性。

功能级别的选择对于林的功能和安全性至关重要，因为它决定了服务器在林中的操作和支持的功能。

Windows Server 2019作为最新的操作系统版本，被广泛应用在企业网络林中。

在这个操作系统上，我们可以选择不同的功能级别来满足不同的需求。

本文将一步一步回答关于Win2019 Server林的功能级别的问题，从功能级别的定义、要求和选择，到功能级别的影响和升级。

1. 什么是功能级别？功能级别是Windows Server操作系统中的一个概念，它定义了在林中的不同域可支持和使用的功能和特性。

具体来说，功能级别决定了林中的域控制器（Domain Controller）使用的协议和支持的功能。

高级别的功能级别通常意味着更多的功能和更高的安全性，但可能需要较新的操作系统版本和更高的林操作的公共特性。

2. Win2019 Server林支持哪些功能级别？Windows Server 2019操作系统支持以下功能级别：- Windows Server 2003功能级别：该级别支持Windows Server 2003及更高版本的域控制器。

该级别是为了向后兼容旧版Windows Server林而设置的，可以在使用较旧的域控制器时保留一些功能。

- Windows Server 2008功能级别：该级别支持Windows Server 2008及更高版本的域控制器。

该级别引入了一些新功能，如候选信任域控制器、跨域快照和密码策略对象等。

- Windows Server 2008 R2功能级别：该级别支持Windows Server 2008 R2及更高版本的域控制器。

该级别引入了一些新功能，如认证日志等。