一：概念
　　從win NT到win2000、win2003、win2008都提供提供活動(dòng)目錄功能，然而不同操作系統(tǒng)運(yùn)行的域都提供不同功能的服務(wù)，在域內(nèi)由不同類型的操作系統(tǒng)組合而成的域，支持不同的功能、服務(wù)，這就稱之為域的功能級(jí)別。同理在林中也存在林的功能這個(gè)概念
　　在Windwos2003的Active Directory中提供了比Windows2000 Active Directory更高的功能級(jí)別，稱為windows2003臨時(shí)模式和windows2003模式。只有把所有的與控制器升級(jí)到Windows2003模式，整個(gè)森林才能被提升到Windwos2003模式。森林功能級(jí)別的提升需要手動(dòng)完成。
　　二：域功能級(jí)別
　　域功能激活只影響整個(gè)域和該域的功能。Windows Server 20008功能級(jí)別支持五功能級(jí)別，一下分別介紹五功能級(jí)別及其功能級(jí)別所支持的域控制器
　　1：Windows 2000 混合模式（默認(rèn)）其網(wǎng)絡(luò)配置使用Windows 2000和Windows NT 的任意組合系統(tǒng)。Windows 2000 域控制器和Windows NT 4.0 備份域控制器可以在同一個(gè)域中無縫共存而不會(huì)出現(xiàn)任何問題。當(dāng)然Windwos 2003域控制器也支持此模式。激活的功能包括本地與全局組并支持全局編錄
　　2：Windows 2000本機(jī)模式。域中所有域控制器都可以運(yùn)行Windows2000或Windwos2003.激活的功能包括組嵌套、通用組、Sidhistory、安全組與通訊組之間的轉(zhuǎn)換、
　　3：Windows Server 2003臨時(shí)模式。允許Windows 2003域控和Windows NT 4 域控制器的混合使用。但不能與Windows2000域控制器混合使用。顯見支持的域控為Windows 2003和Windows NT4.此級(jí)別內(nèi)沒有域范圍的激活功能。該模式只在將NT4的域控升級(jí)到Windows2003域控時(shí)使用
　　4：Windows Server 2003模式。域中所有域控制器只能是Windows 2003和Windows2008。支持的功能包括：
　　Netdom.exe提供的域控制器重命名功能、
　　更新登錄時(shí)間戳。將使用用戶或計(jì)算機(jī)的上次登錄時(shí)間來更新 lastLogonTimestamp 屬性�？梢栽谟騼�(nèi)復(fù)制該屬性。
　　在 inetOrgPerson 和用戶對(duì)象上將 userPassword 屬性設(shè)置為有效密碼的功能。
　　重定向用戶和計(jì)算機(jī)容器的功能。默認(rèn)情況下，已提供了兩個(gè)已知的容器，用于容納計(jì)算機(jī)和用戶/組帳戶：即 cn=Computers,<域根> 和 cn=Users,<域根>。該功能可用于定義這些帳戶新的已知位置。
　　授權(quán)管理器能夠?qū)⑵涫跈?quán)策略存儲(chǔ)在 Active Directory 域服務(wù) (AD DS) 中。
　　包含受限制的委派，以便使應(yīng)用程序可通過 Kerberos 身份驗(yàn)證協(xié)議充分利用用戶憑據(jù)的安全委派。可以將委派配置為僅允許特定的目標(biāo)服務(wù)。
　　支持選擇性的身份驗(yàn)證，通過它可以從受信任林指定允許對(duì)信任林中資源服務(wù)進(jìn)行身份驗(yàn)證的用戶和組。
　　5：Windows Server 2008模式。目前位置所有域功能級(jí)別中級(jí)別，支持所有Windows 2003域功能級(jí)別，之外還支持一下功能
　　SYSVOL 的分布式文件系統(tǒng)復(fù)制支持，可提供 SYSVOL 內(nèi)容的更穩(wěn)健更詳細(xì)的復(fù)制。
　　Kerberos 協(xié)議的高級(jí)加密服務(wù)（AES 128 和 256）支持。
　　上次交互式登錄信息，將顯示用戶上次成功交互式登錄的時(shí)間、來自什么工作站，以及自上次登錄失敗的登錄嘗試次數(shù)。
　　嚴(yán)格的密碼策略，這可以為域中的用戶和全局安全組指定密碼和帳戶鎖定策略。
　　注：Windows Server 2008支持目前所有5種域的功能級(jí)別
　　三：域功能級(jí)別的評(píng)估
　　1：Windows 2000混合級(jí)別
　　對(duì)于沒有完全淘汰Windows NT域控制器的企業(yè)最為合適，但我想現(xiàn)在NT應(yīng)該以很難尋覓。
　　2：Windows 2000本機(jī)域級(jí)別
　　如果已經(jīng)部署了從Windows NT到Windows 2000的AD遷移，那么這個(gè)功能級(jí)別顯然最合適，而且這種模式也僅僅適合從NT域環(huán)境升級(jí)到Windows2000
　　3：Windows Server 2003 過度級(jí)別
　　為那些直接從Windows NT域控升級(jí)到Windows2003 的用戶準(zhǔn)備。但是此種模式不支持Windows 2000。
　　4：Windows Server 2003域級(jí)別
　　如果打算轉(zhuǎn)換林之前將域級(jí)別提升到Windows 2003功能級(jí)別，此種模式為的選擇。要求域中所有域控為windows 2003 或windows2008
　　5：Windows Server 2008域級(jí)別
　　目前級(jí)別，要求所有域控都是Windows Server 2008.
　　四：林的功能級(jí)別
　　主要分為三種
　　1：Windows 2000
　　支持所有默認(rèn)的 Active Directory 功能。
　　2：Windows Server 2003
　　所有默認(rèn)的 Active Directory 功能及以下功能：
　　林信任。
　　域重命名。
　　鏈接值復(fù)制（組成員身份中的更改為各個(gè)成員存儲(chǔ)并復(fù)制值，而不是作為單個(gè)單位復(fù)制整個(gè)成員身份）。在不同域控制器中同時(shí)添加或刪除不同成員時(shí)，這種更改可在復(fù)制期間占用更少的網(wǎng)絡(luò)帶寬并降低處理器使用率，同時(shí)消除丟失更新可能性。
　　部署運(yùn)行 Windows Server 2008 的只讀域控制器 (RODC) 的功能。
　　改進(jìn)的知識(shí)一致性檢查器 (KCC) 的算法和可伸縮性。站點(diǎn)間拓?fù)渖�成�?(ISTG) 使用改進(jìn)的算法，可縮放以支持具有遠(yuǎn)遠(yuǎn)大于在 Windows 2000 林功能級(jí)別上所支持站點(diǎn)的數(shù)量的林。改進(jìn)的 ISTG 選擇算法是一種在 Windows 2000 林功能級(jí)別選擇 ISTG 的入侵性較小的機(jī)制。
　　改進(jìn)的 ISTG 算法（更好的縮放 ISTG 用于連接林中所有站點(diǎn)的算法）。
　　在域目錄分區(qū)中創(chuàng)建動(dòng)態(tài)輔助類（稱為 dynamicObject）的實(shí)例的功能。
　　將 inetOrgPerson 對(duì)象實(shí)例轉(zhuǎn)換為 User 對(duì)象實(shí)例的功能，反之亦然。
　　創(chuàng)建新組（稱為應(yīng)用程序基本組和輕型目錄訪問協(xié)議 (LDAP) 查詢組）類型的實(shí)例以支持基于角色的身份驗(yàn)證的功能。
　　在架構(gòu)中停用并重新定義屬性和類別。
　　3：Windows 2008
　　該功能級(jí)別提供 Windows Server 2003 林功能級(jí)別上可用的所有功能，但不提供任何其他功能。但在默認(rèn)情況下，隨后添加到林的所有域，將在 Windows Server 2008 域功能級(jí)別進(jìn)行操作。
　　五：提升域功能級(jí)別
　　大家比較熟悉的是由Windows 2000混合模式升級(jí)到Windows 2003模式，具體操作到網(wǎng)上自行搜索
　　注意，當(dāng)域功能級(jí)別提升后，運(yùn)行較老的域控制器將不能被加入到域中。例如，如果將域的功能級(jí)別提升到Windows 2003，則原來的Windwos 2000的域控將不能被添加到域中
　　注：由Windows 2003 域控升級(jí)到Windows2008域控，如果沒有選擇升級(jí)后的模式為Windows Server 2008 則不能叫做域功能級(jí)別，只是簡(jiǎn)單的升級(jí)域控制器，模式未變，當(dāng)然也就不會(huì)增加新功能。