我们很容易忘记活动目录已经出现了11年了。对于很多操作系统和控制器来说,有很多时间来找出到企业域的方式,这意味着,在很多情况下,一些流线成型是合适的。
但是当数据中心流线型、迁移多个现有服务到虚拟化实例中、并在Windows Server 2008 R2上标准化时,很容易在更高级别的林和域功能级别中忽视执行的更重要好处。
在Windows Server 2008 R2的域级别中实现了有趣的新功能,它们提高了网络的安全性:
- 认证机制担保。它名字很怪但是一个安全的过程:有了这些实现的功能,活动目录能够追踪用户认证到网络的方式。这些信息放在用户的Kerberos认证记号中。这在联合身份管理产品恰当放置的例子中尤其实用,例如活动目录联合服务(ADFS)。
管理员可以根据用户登录方式设置认证规则:例如,只在用户的智能卡物理地出现在机器中时允许这些用户访问到一个资源,相反地,只允许一个用户名和密码的组合得到充分的认证。这是敏感应用和资源的实用功能,它们仍需要通过外部产品访问。
- 自动服务首要名称(SPN)管理。该功能让运行在机器级别帐户上的服务在计算机名称或DNS信息变更时使用受管理服务帐户来更新它们自己的凭证变得容易。
用户可以升级到这个功能级别,如果在任意给定的他们想升级的域中,所有域控制器都运行Windows Server 2008 R2。
但是不要忘了针对该树的林,针对域的也可以。在Windows Server 2008 R2中的林级别,你得到一个非常重要的改良:活动目录回收站(Active Directory Recycle Bin) ,它在活动目录域服务运行时提供完整恢复已删除对象的能力。还有,一旦林的功能级别提高,所有你在该林之后创建的域会处于同一功能级别。这在你考虑它时有意义,考虑到所有级别都是一样的。
提高功能级别是一个单向的过程。低级别的功能一旦提高就不能改变了,没有完美的方法来将提高的功能级别中提供的附加功能降级。
为了升级到Windows Server 2008 R2域功能级别,需要遵循以下四步:
- 打开活动目录域和信任内容。
- 在控制台树中,右击讨论中的域,接着从弹出内容菜单中点击提高域功能级别。
- 在选择可用的域功能级别中,选择合适的功能级别。
- 点击提高。
要升级到Windows Server 2008 R2林功能级别,按以下步骤进行:
- 打开活动目录域及信任内容。
- 在控制台树中,右击活动目录域及信任内容节点,接着从弹出内容菜单中点击提高林功能级别。
- 在选择可用的林功能级别中,选择合适的功能级别。
- 点击提高。
来源:http://www.searchsv.com.cn/showcontent_50843.htm
【编辑推荐】
