我們很容易忘記活動目錄已經出現了11年了。對于很多操作系統和控制器來說，有很多時間來找出到企業域的方式，這意味著，在很多情況下，一些流線成型是合適的。

但是當數據中心流線型、遷移多個現有服務到虛擬化實例中、并在Windows Server 2008 R2上標準化時，很容易在更高級別的林和域功能級別中忽視執行的更重要好處。

在Windows Server 2008 R2的域級別中實現了有趣的新功能，它們提高了網絡的安全性：

• 認證機制擔保。它名字很怪但是一個安全的過程：有了這些實現的功能，活動目錄能夠追蹤用戶認證到網絡的方式。這些信息放在用戶的Kerberos認證記號中。這在聯合身份管理產品恰當放置的例子中尤其實用，例如活動目錄聯合服務（ADFS）。

管理員可以根據用戶登錄方式設置認證規則：例如，只在用戶的智能卡物理地出現在機器中時允許這些用戶訪問到一個資源，相反地，只允許一個用戶名和密碼的組合得到充分的認證。這是敏感應用和資源的實用功能，它們仍需要通過外部產品訪問。

• 自動服務首要名稱（SPN）管理。該功能讓運行在機器級別帳戶上的服務在計算機名稱或DNS信息變更時使用受管理服務帳戶來更新它們自己的憑證變得容易。

用戶可以升級到這個功能級別，如果在任意給定的他們想升級的域中，所有域控制器都運行Windows Server 2008 R2。

但是不要忘了針對該樹的林，針對域的也可以。在Windows Server 2008 R2中的林級別，你得到一個非常重要的改良：活動目錄回收站（Active Directory Recycle Bin） ，它在活動目錄域服務運行時提供完整恢復已刪除對象的能力。還有，一旦林的功能級別提高，所有你在該林之后創建的域會處于同一功能級別。這在你考慮它時有意義，考慮到所有級別都是一樣的。

提高功能級別是一個單向的過程。低級別的功能一旦提高就不能改變了，沒有完美的方法來將提高的功能級別中提供的附加功能降級。

為了升級到Windows Server 2008 R2域功能級別，需要遵循以下四步：

• 打開活動目錄域和信任內容。
• 在控制臺樹中，右擊討論中的域，接著從彈出內容菜單中點擊提高域功能級別。
• 在選擇可用的域功能級別中，選擇合適的功能級別。
• 點擊提高。

要升級到Windows Server 2008 R2林功能級別，按以下步驟進行：

• 打開活動目錄域及信任內容。
• 在控制臺樹中，右擊活動目錄域及信任內容節點，接著從彈出內容菜單中點擊提高林功能級別。
• 在選擇可用的林功能級別中，選擇合適的功能級別。
• 點擊提高。

來源：http://www.searchsv.com.cn/showcontent_50843.htm

【編輯推薦】

1. 如何轉移活動目錄到Windows Server 2008 R2？
2. 活動目錄災難管理員應該如何應對
3. 將活動目錄從Server 2003升級到Server 2008