Comment élever le Niveau Fonctionnel de la Forêt Active Directory
Quels sont les Niveaux fonctionnels?
Un niveau fonctionnel Active Directory détermine les capacités des services de domaine Active Directory (AD DS) disponibles pour une forêt ou un domaine particulier. Les niveaux fonctionnels sont spécifiés en termes de versions de Windows Server, car chaque mise à jour de version apporte une foule de nouvelles fonctionnalités AD DS. Les niveaux fonctionnels doivent être spécifiés car leurs fonctionnalités ne sont pas rétrocompatibles avec les niveaux fonctionnels précédents.
Les niveaux fonctionnels sont classés en deux types:
-
Niveau fonctionnel de la forêt (FFL)
-
Niveau fonctionnel du domaine (DFL)
Niveau fonctionnel de forêt (FFL)
Un niveau fonctionnel de forêt détermine les fonctionnalités des AD DS activées dans une forêt. L’augmentation d’un FFL augmente les capacités de tous les contrôleurs de domaine (DC) de la forêt. Par exemple, Windows Server 2016 a apporté des fonctionnalités de gestion des accès privilégiés (PAM) ainsi que toutes les fonctionnalités de la version précédente.
Comment vérifier le niveau fonctionnel de la forêt?
Vous pouvez afficher le niveau fonctionnel de votre forêt en procédant comme suit:
-
Aller à Démarrer et ouvrir les Outils d’administration
-
Accédez à Domaines et approbations Active Directory
-
Cliquez avec le bouton droit sur le domaine racine et accédez à Propriétés
-
Sous l’onglet Général, vous pourrez voir les niveaux fonctionnels de votre forêt et de votre domaine
Utilisation de PowerShell pour trouver le niveau fonctionnel de la forêt
You can find the Forest Functional Level of your domain using the following PowerShell command:
Choisir votre niveau fonctionnel de la forêt
Lors du déploiement d’AD DS, vous aurez la possibilité de choisir votre niveau fonctionnel de la forêt. Lorsque vous choisissez le niveau fonctionnel de la forêt, notez que le niveau fonctionnel du domaine doit être le même que le niveau fonctionnel de la forêt ou supérieur. Tout nouveau domaine ajouté à cette forêt prendra le niveau fonctionnel de la forêt par défaut.
Comment augmenter le niveau fonctionnel de votre forêt
Si à un moment donné, vous devez modifier le niveau fonctionnel de votre forêt, vous pouvez le faire en suivant les étapes ci-dessous. Par exemple, si vous souhaitez augmenter le niveau fonctionnel de la forêt de 2012R2 à 2016, voici comment vous pouvez le faire:
-
Aller à Démarrer et ouvrir les Outils d’administration
-
Accédez à Domaines et approbations Active Directory
-
Dans le volet de gauche, cliquez avec le bouton droit sur Domaines et approbations Active Directory et sélectionnez Augmenter le niveau fonctionnel de la forêt.
-
Vous verrez une liste des niveaux fonctionnels de forêt disponibles. Sélectionnez le niveau fonctionnel requis. Dans ce cas, sélectionnez Windows Server 2016.
-
Cliquez sur Augmenter.
-
Vous recevrez un message d’avertissement. Lisez le message et cliquez sur OK.
-
Cliquez sur OK dans la boîte de dialogue de confirmation.
Choses à noter avant d’augmenter votre niveau fonctionnel de forêt
Augmenter votre niveau fonctionnel de forêt donne à votre forêt accès à de nouvelles fonctionnalités AD DS améliorées. Cependant, il y a aussi certaines choses à prendre en charge avant d’élever le niveau fonctionnel, afin que tous les systèmes restent fonctionnels.
Tout d’abord, vous devrez vous assurer que tous les CD de la forêt exécutent la même version de Windows server que le niveau fonctionnel de la forêt que vous avez l’intention d’avoir, ou supérieur. Sinon, identifiez ces DCS et mettez à niveau leurs versions Windows Server ou rétrogradez-les si nécessaire. Vous devrez également vous assurer que le niveau fonctionnel du domaine est le même ou supérieur au niveau fonctionnel de la forêt que vous avez l’intention d’avoir.
Deuxièmement, vérifiez et assurez-vous que la réplication fonctionne correctement dans votre forêt, car il s’agit d’une fonctionnalité cruciale que vous ne voulez pas casser.
Enfin, pour assurer une transition transparente vers un niveau fonctionnel forestier supérieur, vérifiez si toutes les applications et services d’entreprise de votre organisation sont compatibles avec le niveau fonctionnel forestier que vous avez l’intention d’avoir.
Ces étapes assureront une mise à niveau en douceur vers le niveau fonctionnel supérieur de choix, et vous n’aurez aucune mauvaise surprise après le processus de mise à niveau.
Dépendances des niveaux fonctionnels Active Directory
Les niveaux fonctionnels de la forêt Active Directory ont les dépendances suivantes:
- Lorsque tous les contrôleurs de domaine (DCS) d’un réseau exécutent une version de Windows Server, le niveau fonctionnel de la forêt Active Directory doit être configuré pour prendre en charge le même niveau fonctionnel de la forêt. Afin de fournir des fonctionnalités avancées d’Active Directory dans une forêt, un administrateur doit augmenter le niveau fonctionnel de la forêt, ce qui ne peut être fait que si les contrôleurs de domaine exécutent chacun la même version de Windows Server.
- Une fois le niveau fonctionnel de la forêt élevé, les contrôleurs de domaine (DCS) exécutant des versions antérieures de Windows Server ne peuvent pas être ajoutés à la forêt.
Élevez d’abord le niveau fonctionnel du domaine ou de la forêt ?
Le niveau fonctionnel de la forêt dicte également le niveau fonctionnel minimum auquel tous les CD de la forêt doivent fonctionner. Tout DC qui s’exécute sur une version inférieure du serveur Windows sera rétrogradé de la position DC. Cette restriction, cependant, ne s’applique qu’aux CD. Les serveurs et postes de travail des membres dans la forêt ne seront pas affectés. Ainsi, la meilleure pratique consiste à élever d’abord le niveau fonctionnel du domaine, puis à élever le niveau fonctionnel de la forêt. Bien que l’élévation du niveau fonctionnel de la forêt augmente automatiquement le niveau fonctionnel du domaine.
Lisez comment vous pouvez augmenter le niveau fonctionnel du domaine.
Fonctionnalités accessibles selon les niveaux fonctionnels
Une bonne pratique avant d’élever le niveau fonctionnel de la forêt est de comprendre les fonctionnalités que chaque niveau fonctionnel apporte à la table afin que vous puissiez prendre une décision éclairée. Chaque niveau fonctionnel reprend les fonctionnalités du précédent et ajoute des fonctionnalités supplémentaires par-dessus. Certains niveaux n’introduisent aucune fonctionnalité majeure, tandis que d’autres apportent des améliorations massives. La disponibilité de chaque fonction détermine le niveau fonctionnel d’une forêt active directory. Pour vous aider à mieux comprendre, voici une répartition de toutes les fonctionnalités introduites avec chaque version de Windows Server.
| NIVEAU FONCTIONNEL DE LA FORÊT | CARACTÉRISTIQUES DISPONIBLES |
|---|---|
| Windows Server 2016 | Gestion des accès privilégiés (PAM) à l’aide de Microsoft Identity Manager (MIM) |
| Windows Server 2012R2 | Toutes les fonctionnalités disponibles de Windows Server 2012 FFL |
| Windows Server 2012 | Toutes les fonctionnalités disponibles de Windows Server 2008R2 FFL |
| Windows Server 2008R2 | Corbeille Active Directory Toutes les fonctionnalités disponibles de Windows Server 2003 FFL |
| Windows Server 2008 | Toutes les fonctionnalités disponibles de Windows Server 2003 FFL |
| Windows Server 2003 | Renommée de domaine de confiance de Forest réplicationAbilité à valeur liée pour déployer des algorithmes de Vérification de cohérence des connaissances (KCC) en lecture seule DC (RODC) et scalabilitéCréation d’instances de la classe auxiliaire dynamique nommée dynamicObject dans un répertoire de domain partitionConversion d’une instance d’objet inetOrgPerson dans une instance d’objet Utilisateur et converseCréation d’instances de nouveaux types de groupe pour l’autorisation basée sur les rôles redéfinition des attributs et des classes dans le Schemadomain-based DFS Namespacestoutes les fonctionnalités AD DS par défaut |
| Windows 2000 natif | Toutes les fonctionnalités AD DS par défaut |