Функціональні рівні домена і лісу
Набор можливостей|спроможностей|, каталогів Active| Directory|, що надаються службою, залежить від того, на якому рівні (або в якому режимі) функціонують окремий домен або весь ліс в цілому|загалом|.
Для Windows| 2003 є|наявний| 4 рівні функціонування (у Windows| 2000 – 2 рівні):
Windows| 2000 змішаний (Windows| 2000 mixed|)
У даному режимі в домені можуть існувати резервні контролери домена під управлінням системи Windows| NT| Server|. Цей режим розглядається|розглядує| як перехідний в процесі модернізації служб каталогів з|із| Windows| NT| на Windows| 2000/2003. У цьому режимі відсутній ряд|низка| можливостей|спроможностей| Active| Directory| – універсальні групи, вкладеність груп. Крім того, наявність контроллерів домена під управлінням Windows| NT| накладає обмеження на розмір БД Active| Directory| (40 мегабайт).
Після|потім| установки системи і створення|створіння| першого контроллера домена домен завжди працює саме в змішаному режимі.
Windows| 2000 основний (Windows| 2000 native|)
У даному режимі контроллерами домена можуть бути сервери під управлінням Windows| 2000 і Windows| 2003. У даному режимі з'являється|появляється| можливість|спроможність| використання універсальних груп, вкладеність груп, і ліквідовується обмеження на розмір БД Active| Directory|.
Windows| 2003 проміжний (Windows| 2003 interim|)
Даний рівень можливий лише|тільки| у тому випадку, коли контролери домена працюють під управлінням Windows| NT| і Windows| 2003 (не може бути контроллерів з|із| системою Windows| 2000). Цей рівень доступний лише|тільки| тоді, коли проводиться установка Windows| 2003 поверх контроллерів домена з|із| Windows| NT|. Обмеження цього режиму аналогічні змішаному режиму.
Windows| 2003
Це найвищий рівень функціонування домена, в якому є контролери з|із| Windows| 2003, причому всі контролери зобов'язані бути з|із| системою Windows| 2003.
Змінювати рівень функціонування домена можна лише у бік його підвищення. Зробити це можна за допомогою адміністративних консолей " Active Directory – домени і довіра " або " Active Directory – користувачі і комп'ютери ". Якщо в якій-небудь з цих консолей клацнути правою кнопкою миші на імені домена і вибрати в контекстному меню пункт " Зміна режиму роботи домена ", то з'явиться панель, представлена на рис. 5.39:
Рис. 5.39
Для підвищення рівня треба вибрати необхідний рівень і натискувати|натискати| кнопку " Змінити|зраджувати| ". Після|потім| реплікації даної зміни на всі контролери в даному домені стануть доступні специфічні для даного рівня можливості|спроможності|. Відмітимо|помітимо|, що проведені зміни “необратимы”|.
Для всього лісу в цілому|загалом| також можна визначати функціональні рівні. Це робиться|чинить| за допомогою консолі "Active| Directory| – домени і довіра|довір'я| ". Лише|тільки| правою кнопкою миші треба клацнути|лускати| не на імені домена, а на написі|надписі| " Active| Directory| – домени і довіра|довір'я| ".
Існують 3 рівні функціонування лісу:
Windows| 2000 (з|із| контроллерами під управлінням Windows| NT|, 2000 і 2003);
Windows| 2003 interim| (з|із| контроллерами під управлінням лише|тільки| Windows| NT| і 2003);
Windows| 2003 ( всі домени всього лісу – з|із| контроллерами під управлінням лише|тільки| Windows| 2003).
Найвищий рівень функціонування лісу дозволяє виконувати дві дуже важливі|поважні| завдання|задачі|:
перейменування доменів;
встановлення довірчих стосунків між двома не зв'язаними один з|із| одним лісами з використанням Kerberos| як протокол аутентифікації (без такого режиму довірчі стосунки можуть встановлюватися лише|тільки| між окремими доменами, а не цілими лісами, при цьому використовуватиметься менш захищений протокол аутентифікації NTLM|).