Forest Functional Level ve Domain Functional Level Nedir?

Forest Functional Level forestta kullanılabilecek özellikleri, Domain Functional Level ise domainde kullanılabilecek özellikleri belirler.

Bir domainde Forest Functional Level ve Domain Functional Level ne kadar yüksekse o domainde Active Directory özellikleri o kadar fazladır. Daha yüksek bir Domain Functional Level’a geçiş yapılabilmesi için domaindeki domain controllerların en az geçiş yapılacak Domain Functional Level seviyesinde olması gerekir. Örneğin, mevcut Domain Functional Level Windows Server 2012 ise Windows Server 2008 işletim sistemine sahip bir domain controllerı bu domainde kullanamazsınız.

Domain Functional Level’dan bağımsız olarak herhangi bir istemci ve sunucu işletim sistemine sahip makine domaine dahil edilebilir. Örneğin, mevcut durumda Windows Server 2016 Domain Functional Level’ını kullanıyor olsanız bile Windows Server 2012 işletim sistemine sahip sunucunuz domaine dahil edilebilir. Yani Domain Functional Level yalnızca domain controllerlar için geçerlidir.

Domain Functional Level yükseltme işlemi domainin güvenliğini ve yeteneklerini arttırmak için yapılır. Domain Functional Level yükseltilmeden önce aşağıdaki koşulların sağlanması gerekir :

  1. Bir Domain Functional Level yükseltmesi gerçekleştirilecekse domaindeki tüm domain controllerların yükseltilecek Domain Functional Level ile uyumlu işletim sistemi çalıştırdığından emin olunmalıdır.
  2. Domain Functional Level’ı yükseltecek kullanıcının mutlaka “Domain Admins” grubuna üye olması gerekmektedir.
  3. Domain Functional Level’ı, Forest Functional Level’dan daha düşük bir Level’a ayarlayamazsınız.

Forest ve Domain Functional Level’larının isimleri ve özellikleri aşağıda belirtilmiştir. Her bir Forest Functional Level ve Domain Functional Level bir önceki Level’ın özelliklerini ve bunlara ek özellikler barındırır.

Windows 2016

Desteklenen işletim sistemleri

  • Windows Server 2019
  • Windows Server 2016

Forest Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri ve Windows Server 2012 R2 Forest Functional Level özellikleri ve aşağıdaki özellikler kullanılabilir :

  • Microsoft Kimlik Yöneticisi (Microsoft Identity Manager – MIM) kullanılarak Ayrıcalıklı Erişim Yönetimi ( Privileged Access Management – PAM)

Domain Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri, Windows Server 2012 R2 Domain Functional Level özellikleri ve aşağıdaki özellikler kullanılabilir :

  • Etkileşimli Oturum İçin Akıllı Kart Gereksinimi (Smart card required with interactive logon) desteği eklenmiştir.
  • Domain Controllerlar, bir kullanıcı sınırlı bir domaine bağlı olan cihazlarla sınırlandırılmış olduğunda NTLM ile ağa erişimi destekler.
  • Kerberos istemcileri PKInit uzantısı ile kimlik doğrulaması yapıp ortak anahtar kimliğine sahip olabilir.

Windows 2012 R2

Desteklenen işletim sistemleri

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Forest Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri ve Windows Server 2012 Forest Functional Level özellikleri kullanılabilir.

Domain Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri, Windows Server 2012 Domain Functional Level özellikleri ve aşağıdaki özellikler kullanılabilir :

  • Korumalı kullanıcılar için DC taraflı koruma. Korumalı kullanıcılar Windows Server 2012 R2 domaininde oturum açamamaktadır. Bunun yerine aşağıdaki doğrulama metotları mevcuttur :
    • NTLM kimlik doğrulaması ile doğrulama
    • Kerberos ön kimlik doğrulamada DES veya RC4 şifreleme paketlerini kullanma
    • Kısıtlanmamış veya kısıtlanmış delegasyon ile yetkilendirme
    • İlk 4 saatlik kullanım süresinin ötesinde kullanıcı biletlerini (TGTs) yenileme
  • Kimlik Doğrulama Politikaları
    • Windows Server 2012 R2 domainlerindeki hesaplara uygulanabilecek yeni forest tabanlı Active Directory ilkeleri, bir hesabı barındıran ana bilgisayarların denetimi ve hesap olarak çalışan hizmetlerin kimlik doğrulaması için erişim denetimi koşullarını uygular
  • Kimlik Doğrulama Politikası Siloları
    • Kullanıcı, yönetilen hizmetler ve bilgisayarlar arasında bir ilişki oluşturabilen yeni forest tabanlı Active Directory nesnesi, kimlik doğrulama ilkeleri veya kimlik doğrulama yalıtımı için kullanılacak hesapları sınıflar

Windows 2012

Desteklenen işletim sistemleri

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012

Forest Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri ve Windows Server 2008 R2 Forest Functional Level özellikleri kullanılabilir.

Domain Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri, Windows Server 2008 Domain Functional Level özellikleri ve aşağıdaki özellikler kullanılabilir :

  • İstekler için KDC desteği, birleşik doğrulama ve Kerberos Armoring KDC Yönetim Şablonu politikası sahip olduğu iki özellik (Hak talebi sağlama ve Onaylanmamış kimlik doğrulamalarının başarısız olması) için Windows Server 2012 Domain Functional Level’a ihtiyaç duymaktadır.

Windows 2008 R2

Desteklenen işletim sistemleri

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Forest Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri, Windows Server 2008 Forest Functional Level özellikleri ve aşağıdaki özellikler kullanılabilir :

  • Active Directory Geri Dönüşüm Kutusu (Active Directory Recycle Bin), Active Directory çalışırken tümüyle silinmiş nesneleri geri yükleme olanağı sağlar.

Domain Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri, Windows Server 2008 Domain Functional Level özellikleri ve aşağıdaki özellikler kullanılabilir :

  • Her kullanıcının Kerberos belirtecinin içindeki domain kullanıcılarını doğrulamak için kullanılan oturum açma yöntemi türü (akıllı kart veya kullanıcı adı / parola) hakkında bilgi toplayan kimlik doğrulama mekanizması güvencesi
    • Bu özellik, Active Directory Federasyon Hizmetleri (Active Directory Federation Services – AD FS) gibi birleşik kimlik yönetimi altyapısı dağıtan bir ağ ortamında etkinleştirildiğinde, bir kullanıcı herhangi bir istemde bulunulan herhangi bir uygulamaya erişmeyi denediğinde, bu simge içindeki bilgiler ayıklanabilir. Bir kullanıcının oturum açma yöntemine dayalı yetkilendirmeyi belirlemek için geliştirilmiştir.
  • Makine hesabının adı veya DNS ana bilgisayar adı değiştiğinde, Yönetilen Hizmet Hesabı kapsamında belirli bir bilgisayarda çalışan servisler için otomatik SPN yönetimi

Windows 2008

Desteklenen işletim sistemleri

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows 2008

Forest Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri ve Windows Server 2003 Forest Functional Level özellikleri kullanılabilir.

Domain Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri, Windows Server 2003 Domain Functional Level özellikleri ve aşağıdaki özellikler kullanılabilir :

  • Windows Server 2003 System Volume (SYSVOL) için Dağıtılmış Dosya Sistemi (Distributed File System – DFS) çoğaltma desteği
    • DFS çoğaltma desteği, SYSVOL içeriğinin daha güçlü ve ayrıntılı çoğaltılmasını sağlar.

NOT : Windows Server 2012 R2 ile başlayarak, Dosya Çoğaltma Hizmeti (File  Replication Service – FRS) kullanımdan kaldırılmıştır. En az Windows Server 2012 R2 çalıştıran bir domain controllerda oluşturulan yeni bir domain, Windows Server 2008 Domain Functional Level’ına veya daha yüksek bir değere ayarlanmalıdır.

  • Erişim tabanlı numaralandırma ve artırılmış ölçeklenebilirlik desteği içeren Windows Server 2008 Modunda çalışan domain tabanlı DFS ad alanları. Windows Server 2008 modunda domain tabanlı ad alanları da forestın Windows Server 2003 Forest Functional Level’ını kullanmasını gerektirir.
  • Kerberos protokolü için Gelişmiş Şifreleme Standardı (AES 128 ve AES 256) desteği. Ticket-Granting Ticket (TGT)’ların AES kullanılarak düzenlenebilmesi için, domain functional levelın Windows Server 2008 veya üstü olması ve domain şifresinin değiştirilmesi gerekmektedir.
    • NOT : Domain controller, DFL değişikliğini çoğaltmış, ancak krbtgt parolasını henüz yenilemediyse, domain functional level Windows Server 2008’e yükseltildikten sonra veya daha yüksek bir domain controllerda kimlik doğrulaması hataları oluşabilir. Bu durumda, etki alanı denetleyicisindeki KDC hizmetinin yeniden başlatılması, yeni krbtgt parolasının bir bellek içi yenilemesini tetikler ve ilgili kimlik doğrulama hatalarını çözer.
  • Son Etkileşimli Oturum Açma Bilgileri (Last Interactive Logon) aşağıdaki bilgileri görüntüler:
    • Domaine dahil olan bir Windows Server 2008 sunucusundaki veya Windows Vista Clientındaki başarısız oturum açma girişimlerinin toplam sayısı
    • Windows Server 2008 sunucusuna veya Windows Vista clientına başarılı bir oturum açtıktan sonra başarısız oturum açma girişimlerinin toplam sayısı
    • Windows Server 2008 veya Windows Vista clientında son başarısız oturum açma denemesi
    • Windows Server 2008 sunucusunda veya Windows Vista clientında son başarılı oturum açma girişiminin saati
  • Fine-Grained Password Policy’leri, bir domaindeki kullanıcılar ve genel güvenlik grupları için parola ve hesap kilitleme ilkelerini belirlemenizi sağlar.
  • Kişisel Sanal Masaüstleri
    • Active Directory User and Computers’da User Account Properties iletişim kutusundaki Personal Virtual Desktop sekmesi tarafından sağlanan ek işlevselliklerin kullanılması için Active Directory şemasının Windows Server 2008 R2’ye genişletilmesi gerekir (şema nesnesi sürümü = 47).

Windows 2003

Desteklenen işletim sistemleri

  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Server 2003

Forest Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri, Windows Server 2000 Forest Functional Level özellikleri ve aşağıdaki özellikler kullanılabilir :

  • Forest Trust
  • Domain yeniden adlandırma
  • Linked-Value Replication
    • Linked-Value Replication, tüm üyeliği tek bir birim olarak çoğaltmak yerine, tek tek üyeler için değerleri depolamak ve çoğaltmak için grup üyeliğini değiştirmenizi sağlar. Tek tek üyelerin değerlerini depolamak ve çoğaltmak, çoğaltma sırasında daha az ağ bant genişliği ve daha az işlemci döngüsü kullanır ve farklı domain controllerlarda aynı anda birden çok üye eklendiğinde veya kaldırıldığında güncellemelerin kaybolmasını önler.
  • Salt okunur domain controller (RODC)
  • Knowledge Consistency Checker (KCC) algoritmaları ve ölçeklenebilirlik
    • Siteler arası topoloji oluşturucusu (Inter-Site Topology Generator – ISTG), Active Directory Domain Services’in Windows 2000 forest functional Level’ını da destekleyebilir ve daha fazla sayıda siteye sahip forestları desteklemek için ölçeklenen gelişmiş algoritmalar kullanır.
  • Domain dizini bölümünde dynamicObject adlı dinamik yardımcı sınıfın örneklerini oluşturma yeteneği
  • InetOrgPerson nesne örneğini kullanıcı nesne örneğine dönüştürme ve dönüşümü ters yönde tamamlama becerisi
  • Rol tabanlı yetkilendirmeyi desteklemek için yeni grup türlerinin örneklerini oluşturma yeteneği
    • Bu türlere uygulama temel grupları ve LDAP sorgu grupları denir.
  • Şemadaki özniteliklerin ve sınıfların devre dışı bırakılması ve yeniden tanımlanması. Aşağıdaki öznitelikler yeniden kullanılabilir:
    • ldapDisplayName, schemaIdGuid, OID ve mapiID.
  • Erişim tabanlı numaralandırma ve arttırılmış ölçeklenebilirlik desteği içeren Windows Server 2008 Modunda çalışan domain tabanlı DFS ad alanları

Domain Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri, Windows Server 2000 Domain Functional Level özellikleri ve aşağıdaki özellikler kullanılabilir :

  • Domain yönetimi aracı “Netdom.exe” ile domain controllerlar yeniden adlandırılabilir.
  • Oturum açma zaman damgası güncellemeleri
    • LastLogonTimestamp özniteliği, kullanıcının veya bilgisayarın son oturum açma süresiyle güncellenir. Bu özellik domain içinde çoğaltılır.
  • UserPassword özniteliğini inetOrgPerson ve kullanıcı nesnelerinde etkin parola olarak ayarlama yeteneği
  • Kullanıcılar ve Bilgisayarlar kapsayıcılarını (Container) yeniden yönlendirebilme
    • Varsayılan olarak, bilgisayar ve kullanıcı hesaplarını barındıran iki bilinen container CN = Computers ve CN = Users dır. Bu özellik, bu hesaplar için yeni ve iyi bilinen bir container tanımına izin verir.
  • Yetkilendirme Yöneticisi (Authorization Manager)’nin yetkilendirme ilkelerini Active Directory Domain Services’de saklaması
  • Kısıtlı Delegasyon
    • Kısıtlı delegasyon, uygulamaların Kerberos tabanlı kimlik doğrulaması aracılığıyla kullanıcı kimlik bilgilerinin güvenli bir şekilde yetkilendirilmesinden faydalanmasını sağlar
    • Yetkilendirme yalnızca belirli hedef hizmetlere kısıtlanabilir
  • Seçmeli kimlik doğrulaması
    • Seçmeli kimlik doğrulaması, güvenilir bir foresttaki kaynak sunucularına kimlik doğrulamasına izin verilen güvenilir bir foresttaki kullanıcıları ve grupları belirlemenizi sağlar.

Windows 2000

Desteklenen işletim sistemleri

  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Server 2003
  • Windows 2000

Forest Functional Level Özellikleri

Tüm varsayılan Active Directory özellikleri kullanılabilir.

Domain Functional Level Özellikleri

Aşağıdaki özellikler de dahil olmak üzere tüm varsayılan Active Directory özellikleri kullanılabilir :

  • Hem dağıtım (Distribution) hem de güvenlik (Security) grupları için evrensel (Universal) gruplar
  • Grup yerleştirme (İç içe grup oluşturma)
  • Güvenlik ve dağıtım grupları arasında dönüşüm sağlayan grup dönüşümü
  • Güvenlik tanımlayıcısı (SID) geçmiş

Faydalı olması dileğiyle…

Kaynak : Microsoft

Hasan Emre SATILMIŞ tarafından yayımlandı

Bir Cevap Yazın