Functional Level چیست؟ بررسی مفهوم سطح عملیاتی اکتیودایرکتوری

Functional Level (سطح عملیاتی) قابلیت های مختلف دومین و forest را در Active Directory Domain Services تعیین می کند. همچنین تعیین می کند که چه سیستم عامل های ویندوزی می توانند بر روی دامین کنترلر در forest اجرا شوند. توجه داشته باشید که functional level کاری به سیستم عامل های workstation و سرورهایی که به عضویت دومین و forest درآمده اند، ندارد. زمانی که AD DS را پیاده سازی می کند، سطح عملیاتی دومین و forest را در بالاترین سطحی که محیط شبکه تان می تواند از آن پشتیبانی کند، قرار دهید.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

برای مثال اگر مطمئن هستید که هیچ وقت دومین کنترلری با ویندوز سرور 2003 را به forest اضافه نمی کنید، سطح عملیاتی ویندوز سرور 2008 را هنگام پیاده سازی انتخاب کنید. همچنین اگر ممکن است که دومین کنترلری با ویندوز سرور 2003 را اضافه کنید، سطح عملیاتی را بر روی ویندوز سرور 2003 قرار دهید. زمانی که یک forest جدید را ایجاد می کنید، ابتدا از شما خواسته می شود که سطح عملیاتی forest و سپس سطح عملیاتی دومین را انتخاب کنید. توجه داشته باشید که نمی توانید سطح عملیاتی دومین را کمتر از سطح عملیاتی forest انتخاب کنید. اما می توانید سطح عملیاتی دومین را بالاتر از سطح عملیاتی forest انتخاب کنید. در قسمت اول این مقاله به معرفی ویژگی های مختلف هر سطح عملیاتی دومین می پردازیم:

Windows 2000 native

همه ی قابلیت های معمولی AD DS و قابلیت های زیر قابل استفاده است:

  • گروه های Universal هم برای گروه های distribution و هم برای گروه های امنیتی (برای بررسی بیشتر به مقاله استاد نصیری مراجعه کنید: مفاهیم Universal Group و Group Nesting)
  • Group nesting
  • تبدیل گروه ها: این ویژگی قابلیت تبدیل بین گروه های distribution و امنیتی را فراهم کرده است.
  • تاریخچه Security Identifier یا SID

نکته: در Windows Server 2008 R2 قابلیت Personal Virtual Desktop معرفی شد. این قابلیت نیاز به سطح عملیاتی Windows 2000 native دارد.

ویندوز سرور 2003

همه قابلیت های معمولی AD DS، قابلیت های سطح عملیاتی Windows 2000 native و قابلیت های زیر را دارد:

  • ابزار مدیریت دومین یا همان Netdom.exe: این ابزار تغییر نام دومین را امکان پذیر کرده است.
  • به روز رسانی های Logon time stamp: ویژگی lastLogonTimeStamp بعد از آخرین ورود یک کاربر به کامپیوتر به روز می شود.
  • قابلیت رمز گذاری (با دستور userPassword) بر روی inetOrgPerson و اشیا کاربران
  • قابلیت انتقال دادن (redirect کردن) کاربران و کامپیوترها
  • قابلیت Authorization Manager: برای ذخیره کردن Policyهای AD Ds استفاده می شود.
  • Constrained delegation: این ویژگی به برنامه ها قابلیت احراز هویت با استفاده از روش احراز هویت Kerberos را می دهد.
  • احراز هویت انتخابی: به شما اجازه می دهد تا به کاربران و گرو های یک forest مورد اعتماد، اجازه دهید که به منابع forest دسترسی پیدا کنند.

ویندوز سرور 2008

همه قابلیت های معمولی AD DS، قابلیت های سطح عملیاتی ویندوز سرور 2003 و قابلیت های زیر قابل استفاده است:

  • پشتیبانی از DFS یا Distributed File System: این قابلیت با روش های قدرتمندتری از محتوای SYSVOL محافظت می کند.
  • Namespaceهای DFS که مبتنی بر دومین هستند: این ویژگی به کاربران فایل سرور های ویندوز سرور اجازه می دهد تا تنها فایل ها و فولدرهای روی فایل سرور که به آن ها دسترسی دارند را ببینند.
  • استاندارد رمزنگاری پیشرفته (AES 128 و AES 256) برای پروتکل Kerberos
  • اطلاعات آخرین ورود به سیستم که شامل موارد زیر است:
    1. اطلاعات تعداد تلاش های ناموفق برای ورود به سیستم یک ویندوز سرور 2008 عضو دومین و یا یک ویندوز ویستا
    2. اطلاعات تعداد تلاش های ناموفق برای ورود به سیستم پس از یک ورود موفق به ویندوز سرور 2008 و یا یک ویندوز ویستا
    3. اطلاعات آخرین تلاش ناموفق برای ورود به سیستم یک ویندوز سرور 2008 و یا یک ویندوز ویستا
    4. اطلاعات آخرین ورود موفق به سیستم یک ویندوز سرور 2008 و یا یک ویندوز ویستا
  • Fine-grained password policies: با استفاده از این قابلیت می توانید برای کاربران و گروه های امنیتی global، رمز عبور و policyهای قفل گذاری تعیین کنید.
  • Personal Virtual Desktop

Windows Server 2008 R2

همه قابلیت های معمولی AD DS، قابلیت های سطح عملیاتی ویندوز سرور 2003 و قابلیت های زیر را دارد:

  • مکانیزم بیمه احراز هویت: به کمک این قابلیت می توانید تعیین کنید که کاربران با چه روشی (به طور مثال کارت هوشمند یا نام کاربری/رمز عبور) وارد سیستم شوند.
  • مدیریت اتوماتیک SPN

ویندوز سرور 2012

پشتیبانی از احراز هویت ترکیبی و Kerberos armoring

در قسمت اول این مقاله ضمن ارائه توضیحاتی درباره مفهوم Functional Level یا همان سطح عملیاتی، به معرفی ویژگی های هریک از سطوح عملیاتی دامین پرداختیم.در این قسمت به بررسی ویژگی ها و قابلیت های انواع سطح عملیاتی forest می پردازیم.

Windows 2000

این سطح عملیاتی تمام قابلیت های معمولی اکتیودایرکتوری را دارد.

Windows Server 2003

شامل تمام قابلیت های معمولی اکتیودایرکتوری، به علاوه موارد زیر:

  • Forest trust: به کمک آن می توانید دو forest جدا از هم را به هم مرتبط کنید.
  • تغییر نام دامنه
  • Linked-value replication
  • توانایی راه اندازی دومین کنترلری که read-only (RODC) است.
  • بهبود الگوریتم های بررسی سازگاری (Knowledge Consistency Checker): بهبود الگوریتم های پشتیبانی forestهایی که تعداد زیادی سایت دارند در سطح عملیاتی ویندوز 2000 پشتیبانی (به کمک Intersite Toplogy Generator).
  • قابلیت ایجاد ویژگی های مختلف برای یک گروه جدید: این قابلیت به احراز هویت با توجه به نقش هر کاربر کمک می کند.
  • غیرفعال کردن و دوباره تعریف کردن ویژگی ها و کلاس ها در مدل: ویژگی های مقابل را می توان چند بار استفاده کرد: ldapDisplaName، schemaIdGuid، OIDو mapiID.
  • Namespaceهایی که مبتنی بر دامین هستند و در حالت ویندوز سرور 2008 اجرا می شوند.

ویندوز سرور 2008

شامل همه ویژگی های سطح عملیاتی ویندوز سرور 2003، اما هیچ قابلیتی به آن اضافه نشد. هر دامینی که بعده ها به forest اضافه می شود به طور پیش فرض در سطح عملیاتی دامین ویندوز سرور 2008 فعالیت می کنند.

Windows Server 2008 R2

همه قابلیت های سطح عملیاتی forest ویندوز سرور 2003 به همراه موارد زیر را شامل می شود:

  • سطل زباله اکتیودایرکتوری که به شما کمک می کند تا اشیا پاک شده را بازیابی کنید.

به طور پیش فرض همه دامین هایی که متعاقبا به forest اضافه می شوند، در سطح عملیاتی دامین Windows Server 2008 R2 فعالیت می کنند.

اگر می خواهید دامین کنترلرهایی که در سطح عملیاتی windows server 2008 R2 کار می کنند را بسازید، این پیشنهاد را از پویا فضلعلی به یاد داشته باشید که برای آسودگی مدیریت شبکه این سطح عملیاتی را برای forest انتخاب کنید. اگر این کار را انجام دهید، دیگر نیاز نیست که برای هر دامینی که درون forest می سازید، سطح عملیاتی دامنه را افزایش دهید.

ویندوز سرور 2012

این سطح عملیاتی شامل همه قابلیت های پیش فرض Windows Server 2008 R2 است اما هیچ قابلیت جدیدی به آن اضافه نشد.

راهنمای بالا بردن سطح عملیاتی دامین و forest

با کمک موارد زیر می توانید، سطح عملیاتی دامین یا forest را افزایش دهید:

  • باید عضوی از گروه Domain Admins باشید تا بتوانید سطح عملیاتی دامین را افزایش دهید.
  • باید عضوی از گروه Enterprise Admins باشید تا بتوانید سطح عملیاتی forest را افزایش دهید.
  • برای افزایش سطح عملیاتی دامنه باید در شبیه سازهای دامین کنترلر اصلی (PDC) این کار را انجام دهید. ابزارهای مدیریتی اکتیودایرکتوری که از آن ها برای بالا بردن سطح عملیاتی دامین استفاده می کنید (Active Directory Domains and Trusts و Active Directory Users and Computers)، به صورت اتوماتیک شبیه ساز PDC را مورد هدف قرار می دهند.
  • برای بالا بردن سطح عملیاتی forest باید در وضعیت schema operations master باشید. زمانی که با استفاده از Active Directory Domains and Trusts سطح عملیاتی forest را افزایش می دهید، این ابزار به صورت خوردکار در حالت schema operations master اجرا می شود.

تنها زمانی می توانید سطح عملیاتی دامین را افزایش دهید که تمام دامین کنترلرهای دامین، نسخه یا نسخه هایی از ویندوز سرور را داشته باشند که بتوانند از سطح عملیاتی جدید پشتیبانی کنند.

  • تنها زمانی می توانید سطح عملیاتی forest را افزایش دهید که تمام دامین کنترلرهای درون forest، نسخه یا نسخه هایی از ویندوز سرور را داشته باشند که بتوانند از سطح عملیاتی جدید پشتیبانی کنند.
  • نمی توانید سطح عملیاتی دامین را روی مقداری پایین تر از سطح عملیاتی forest تنظیم کنید. اما می توانید آن را روی مقداری برابر یا بالاتر از سطح عملیاتی forest تنظیم کنید.
  • در نسخه های قدیمی تر از Windows Server 2008 R2، به هیچ وجه نمی توانید سطح عملیاتی را به مقداری پایین تر کاهش دهید و یا بازگردانی کنید. اگر می خواهید که به یک سطح عملیاتی پایین تری بازگردید، باید دامین یا forest را از اول بسازید و یا نسخه پشتیان آن را بارگذاری کنید.

نظرات