سازماندهی سطوح کارکرد    Functional Levels

سطوح کارکرد Functional levels فعالیتهای داخلی در اکتیو دایرکتوری را تحت تاثیر قرار میدهد و برای فعال کردن ویژگیهایی است که با اینستال کردن نسخه های سرور از سیستم عامل ویندوز سازگار است. هر forest و هر domain داخل یک forest میتواند سطح کارکرد Functional level تعیین کند .

سطح کارکرد functional level برای یک دومین در داخل یک forest به نام سطح کارکرد دومین domain functional level معروف است. وقتی شما یک domain functional level را تنظیم میکنید، این سطح از قابلیت فقط به آن دومین مربوطه اضافه میشود. سایر دومین ها در forest میتوانند سطح کارکرد functional level متفاوت داشته باشند .

جدول ۱-۲ لیست domain functional levels به همراه دومین کنترولرهایی که در آن ساپورت میشوند میباشد. بالا بردن Raising سطح کارکرد functional level ، سیستم عامل هایی که برای دومین کنترولرها ساپورت میشود و همچنین قابلیتهای اکتیو دایرکتوری را تغییر میدهد. هرچند شما میتوانید آن را بالا ببرید ولی نمیتوانید هرگز آن را تنزل دهید یا پایین بیاورید (البته این کار با شرایط ویژه و محدودیت در ویندوز سرور 2008 R2 قابل اجرا است). به خاطر داشته باشید، شما نمیتوانید با داشتن domain functional level که روی Windows 2000 mixed است از دومین کنترولر ویندوز سرور ۲۰۰۸ استفاده کنید. اگر دومین شما با این حالت کار میکند و شما میخواهید دومین کنترولر ویندوز سرور ۲۰۰۸ اینستال کنید، شما باید در ابتدا domain functional level خود را به Windows 2000 native یا بالاتر تغییر دهید .

جدول ۱-۲ سطوح کارکرد دومین  domain functional levels

جدول ۲-۲ لیست قابلیتهای اکتیو دایرکتوری در سطوح کارکرد دومین  domain functional levels ها را نشان میدهد. دومین هایی که در سطح کارکرد Windows 2000 native هستند میتوانند از گروه های تودرتو group nesting ، تغییر نوع گروه group type conversion ، گروه های جهانی universal groups و مهاجرت migration به اصول امنیتی security principals استفاده کنند. با این حال دومین هایی که در سطح کارکرد دومین گفته شده در حال کار هستند، در آنها نمیتوان به راحتی دومین کنترولر را تغییر نام renaming داد، مهر زمان لاگان logon time stamps را به روز رسانی update کرد یا از  تعداد ورژنهای کلیدی key version numbers  مرکز تولید کلید کربروس Kerberos key distribution center - KDC استفاده کرد .

جدول ۲-۲ لیست قابلیتهای اکتیو دایرکتوری 

وقتی که سطح کارکرد دومین روی Windows Server 2000 یا Windows Server 2003 میباشد، سرویس رونوشت یا تکرار فایل File Replication Service – FRS برای replicate کردن SYSVOL استفاده میشود. FRS قابلیت همکاری با ویندوزهای سرور ۲۰۰۰ و ۲۰۰۳ را فعال میکند اما آخرین افزایش تکرار latest replication enhancements  را ساپورت نمیکند. زمانی که سطح کارکرد دومین Windows Server 2008 باشد، سیستم فایل توزیع شده Distributed File System - DFS میتواند مورد استفاده قرار گیرد. سیستم فایل توزیع شده DFS میتواند برای replicate کردن SYSVOL استفاده شود و آخرین افزایش تکرار latest replication enhancements در دسترس هستند، از جمله فقط تغییرات درون فایلها، کنترل پهنای باند bandwidth throttling و بهبود تکنولوژی replication .

دومین هایی که در مد Windows Server 2003 هستند میتوانند از بسیاری از ویژگیهای بهبود یافته اکتیو دایرکتوری استفاده کنند، از جمله گروه تودرتو group nesting ، تغییر نوع گروه group type conversion ، گروه های جهانی universal groups ، تغییر نام renaming آسان دومین کنترولر، به روز رسانی update مهرهای زمان لاگان logon time stamps ، مهاجرت migration به اصول امنیتی security principals و تعداد ورژنهای کلیدی Kerberos KDC . برنامه ها میتوانند از delegation محدود با استفاده از delegation امن مربوط به اعتبار یوزر user credentials از طریق پروتکل احراز هویت کربروس استفاده کنند. مدیر مجوز میتواند پالسی های احراز هویت authentication policies را در اکتیو دایرکتوری ذخیره کند. شما میتوانید containers مربوط به یوزرها و کامپیوترها را به یک محل well-known جدید برای اکانتهای یوزر و کامپیوتر تغییر مسیر دهید. شما همچنین میتوانید با اجرای احراز هویت انتخابی selective authentication ، با مشخص کردن یوزرها و گروه ها از یک trusted forest که اجازه تایید هویت برای منابع یک trusting forest دارند، استفاده کنید .

سطح کارکرد دومین Windows Server 2008 ویژگیهای بیشتری به همراه ویژگیهایی که در مد Windows Server 2003 میباشند، دارد. سیستم توزیع فایل Distributed File System برای replication کردن SYSVOL ، حالت replication قوی تر و نقطه نقطه granular برای SYSVOL ارائه میدهد، از جمله replication تغییرات داخل فایل ها، کنترل پهنای باند bandwidth throttling و بهبود تکنولوژی replication . ساپورت از استاندارد رمزگشایی پیشرفته Advanced Encryption Standard – AES اجازه میدهد تا اکانتهای یوزر از رمزگشایی AES 128-bit یا AES 256-bit استفاده کند. اطلاعات آخرین لاگان تعاملی Last interactive logon آخرین زمان مربوط به لاگان موفق و تعداد لاگان های ناموفق بعد از آخرین لاگان موفق مربوط به یک یوزر را نشان میدهد. پالسی های Fine-grained password این امکان را به وجود میاورد تا برای یوزر یا گروه امنیتی سراسری global security group در یک دومین پالسی پسورد و تحریم اکانت account lockout متفاوت ایجاد کنیم .

سطح کارکرد functional level برای یک forest به نام forest functional level معروف است. جدول ۳-۲ یک لیست از forest functional level ها را به همراه دومین کنترولرهایی که در آن ساپورت میشوند را نشان میدهد. همانند سطح کارکرد دومین domain functional level ، شما میتوانید آن را بالا ببرید raise ولی نمیتوانید پایین بیاورید . وقتی شما forest functional level را به Windows Server 2008 ارتقاء میدهید، همه دومین ها که از سطح کارکرد دومین Windows 2000 native یا بالاتر استفاده میکنند، بطور اتوماتیک به سطح کارکرد دومین Windows Server 2008 ارتقاء پیدا میکنند .

جدول ۳-۲ لیست از forest functional level ها به همراه دومین کنترولرها

forest هایی که با مد Windows 2000 در حال کار هستند، نمیتوانند از بسیاری از ویژگیهای اکتیو دایرکتوری استفاده کنند و دارای قابلیتهای محدود میباشند. آنها نمیتوانند از two-way trust توسعه یافته بین دو forest ، تغییر نام دومین، تغییر ساختار دومین domain restructure با استفاده از تغییر نام و یا پیشرفت replication که در ویندوز ۲۰۰۳ معرفی شده استفاده کنند. از سوی دیگر، forest هایی که با مد Windows Server 2003 در حال کار هستند، همه این ویژگیها را ساپورت کرده و دارای ویژگیهای زیر نیز میباشد :

Linked-value replication که عملیات replication برای تغییرات اعضای گروه group memberships را بهبود بخشیده است .

بهبود الگوریتمهای Knowledge Consistency Checker - KCC و نسل جدید کارآمدتر از توپولوژی پیچیده  replication .

بهبود الگوریتمهای Intersite Topology Generator - ISTG و مقیاس گزاری کارآمدتر در سراسر sites ها در داخل یک forest .

توانایی برای ایجاد گروه از گروه های application و گروه های جستجو query groups برای مجوز مبتنی بر نقش role-based authorization میباشد .

توانایی برای غیرفعال کردن و تعریف مجدد کلاس ها classes و صفات attributes در schema اکتیو دایرکتوی .

قابلیت تبدیل اشیاء inetOrgPerson objects به نمونه های شی یوزر user object و بالعکس .

قابلیت ست کردن صفت userPassword attribute به عنوان پسورد قابل اجرا برای اشیاء inetOrgPerson و یوزر .

قابلیت راه اندازی دومین کنترولر خواندنی RODC با استفاده از ویندوز سرور ۲۰۰۸ .

با این حال اگر forest functional level - FFL بر روی Windows Server 2008 باشد، هیچ ویژگی خاصی به سیستم عامل اضافه نمیکند و فقط اطمینان حاصل میشود که در سراسر تمام دومین کنترولرها ویندوز سرور ۲۰۰۸ میباشند .

توجه: در زمان نوشتن این کتاب، اگر شما از ویندوز سرور 2008 R2 استفاده کردید، در forest functional level دارای Windows Server 2008 R2 نیز میباشید. این سطح کارکرد دارای چند قابلیت ویژه میباشد. این قابلییتها عبارتند از، بازیابی شی حذف شده Deleted Object Recovery ، مدیریت اکانتهای سرویس Managed Service Accounts و متصل کردن به دومین به صورت آفلاین Offline Domain Join . قابلیت بازیابی شی حذف شده Deleted Object Recovery به شما امکان داشتن یک سطل آشغال Recycle Bin را میدهد که مانند بازیابی یک فایل یا فولدر پاک شده، اشیاء objects حذف شده را بازیابی recover کنید. قابلیت مدیریت اکانتهای سرویس Managed Service Accounts ، بهبود مدیریت اکانت یوزر که برای هویت ارایه سرویس استفاده میشود، ارایه میدهد. برای اینکه این ویژگی ساپورت شود، در کنسول Active Directory Users And Computers یک container به نام Managed Service Accounts وجود دارد که به شما اجازه میدهد برای استفاده شناسایی managed service accounts به این container منتقل کنید. در ویندوز سرور 2008 R2 وقتی پسورد برای یک اکانت سرویس تغییر میکند، قابلیت مدیریت اکانت های سرویس به صورت اتوماتیک این پسورد را برای تمام سرویس هایی که از این اکانت استفاده میکنند به روز رسانی میکند. قابلیت متصل کردن به دومین به صورت آفلاین Offline Domain Join به شما این امکان را میدهد که کامپیوترها را بدون اتصال به دومین و به صورت تمام اتوماتیک، عضو join دومین کنید. برای این کار شما احتیاج به درست کردن یک فایل XML دارید که داخل آن اطلاعات لازم برای عضو join شدن به دومین میباشد.

کتاب مشاور جیبی ادمینهای اکتیو دایرکتوری