Cómo aumentar los niveles funcionales de dominio y bosque de Active Directory

En este artículo se describe cómo generar niveles funcionales de bosque y dominio de Active Directory.

Se aplica a: Windows Server 2003
Número de KB original: 322692

Resumen

Para obtener información sobre Windows Server 2016 y las nuevas características de Servicios de dominio de Active Directory (AD DS), consulte Novedades de Servicios de dominio de Active Directory para Windows Server 2016.

En este artículo se describen los niveles funcionales de dominio y bosque compatibles con controladores de dominio basados en Microsoft Windows Server 2003 o más recientes. Hay cuatro versiones de Active Directory y solo los niveles que han cambiado de Windows NT Server 4.0 requieren una consideración especial. Por lo tanto, los demás cambios de nivel se mencionan mediante las versiones más recientes, actuales o anteriores del sistema operativo del controlador de dominio, del dominio o del nivel funcional del bosque.

Los niveles funcionales son una extensión del modo mixto y los conceptos de modo nativo que se introdujeron en Microsoft Windows 2000 Server para activar nuevas características de Active Directory. Algunas características adicionales de Active Directory están disponibles cuando todos los controladores de dominio ejecutan la versión más reciente de Windows Server en un dominio o en un bosque, y cuando el administrador activa el nivel funcional correspondiente en el dominio o en el bosque.

Para activar las características de dominio más recientes, todos los controladores de dominio deben ejecutar la versión más reciente del sistema operativo Windows Server en el dominio. Si se cumple este requisito, el administrador puede aumentar el nivel funcional del dominio.

Para activar las características más recientes de todo el bosque, todos los controladores de dominio del bosque deben ejecutar la versión del sistema operativo Windows Server correspondiente al nivel funcional del bosque deseado. Además, el nivel funcional del dominio actual ya debe estar en el nivel más reciente. Si se cumplen estos requisitos, el administrador puede aumentar el nivel funcional del bosque.

Por lo general, los cambios en los niveles funcionales de dominio y bosque son irreversibles. Si el cambio se puede deshacer, se debe usar una recuperación del bosque. Con el sistema operativo Windows Server 2008 R2, los cambios en los niveles funcionales del dominio y en los niveles funcionales de bosque se pueden revertir. Sin embargo, la reversión solo se puede realizar en los escenarios específicos que se describen en el artículo de Technet sobre los niveles funcionales de Active Directory.

Elevación del nivel funcional

El método más común para habilitar los niveles funcionales de dominio y bosque es usar las herramientas de administración de la interfaz gráfica de usuario (GUI) que se documentan en el artículo de TechNet sobre los niveles funcionales de Windows Server 2003 Active Directory. En este artículo se describe Windows Server 2003. Sin embargo, los pasos son los mismos en las versiones más recientes del sistema operativo. Además, el nivel funcional se puede configurar manualmente o se puede configurar mediante scripts de Windows PowerShell. Para obtener más información sobre cómo configurar manualmente el nivel funcional, consulte la sección "Ver y establecer el nivel funcional".

Para obtener más información sobre cómo usar Windows PowerShell script para configurar el nivel funcional, vea Elevar el nivel funcional del bosque.

Visualización y establecimiento manual del nivel funcional

Las herramientas de protocolo ligero de acceso a directorios (LDAP), como Ldp.exe y Adsiedit.msc, se pueden usar para ver y modificar la configuración actual de nivel funcional de dominio y bosque. Al cambiar manualmente los atributos de nivel funcional, el procedimiento recomendado consiste en realizar cambios en los atributos en el controlador de dominio de operaciones maestras únicas flexibles (FSMO) que normalmente tienen como destino las herramientas administrativas de Microsoft.

Configuración de nivel funcional de dominio

El atributo msDS-Behavior-Version se encuentra en el encabezado del contexto de nomenclatura (NC) del dominio, es decir, DC=corp, DC=contoso, DC=com.

Puede establecer los siguientes valores para este atributo:

• Valor de 0 o no set=dominio de nivel mixto
• Valor de 1=nivel de dominio de Windows Server 2003
• Valor de 2=nivel de dominio de Windows Server 2003
• Valor de 3=nivel de dominio de Windows Server 2008
• Valor de 4=Nivel de dominio de Windows Server 2008 R2

Configuración de modo mixto y modo nativo

El atributo ntMixedDomain se encuentra en el encabezado del contexto de nomenclatura (NC) del dominio, es decir, DC=corp, DC=contoso, DC=com.

Puede establecer los siguientes valores para este atributo:

• Valor de 0=Dominio de nivel nativo
• Valor de 1=dominio de nivel mixto

Configuración de nivel de bosque

El atributo msDS-Behavior-Version está en el objeto CN=Partitions en el contexto de nomenclatura de configuración (NC), es decir, CN=Partitions, CN=Configuration, DC= ForestRootDomain.

Puede establecer los siguientes valores para este atributo:

• Valor de 0 o no set=bosque de nivel mixto

• Valor de 1=Nivel de bosque provisional de Windows Server 2003

• Valor de 2=nivel de bosque de Windows Server 2003

  Nota:

  Al aumentar el atributo msDS-Behavior-Version del valor 0 al valor 1 medianteAdsiedit.msc, recibirá el siguiente mensaje de error:
  Operación de modificación no válida. No se permite algún aspecto de la modificación.

• Valor de 3=nivel de dominio de Windows Server 2008

• Valor de 4=Nivel de dominio de Windows Server 2008 R2

Después de usar las herramientas del Protocolo ligero de acceso a directorios (LDAP) para editar el nivel funcional, haga clic en Aceptar para continuar. Los atributos en el contenedor de particiones y en el encabezado del dominio se aumentan correctamente. Si el archivo Ldp.exe notifica un mensaje de error, puede omitir el mensaje de error de forma segura. Para comprobar que el aumento de nivel se realizó correctamente, actualice la lista de atributos y compruebe la configuración actual. Este mensaje de error también puede producirse después de haber realizado el aumento de nivel en la FSMO autoritativa si el cambio aún no se ha replicado en el controlador de dominio local.

Ver rápidamente la configuración actual mediante el archivo Ldp.exe

1. Inicie el archivo Ldp.exe.
2. En el menú Connection, haga clic en Connect.
3. Especifique el controlador de dominio que desea consultar o deje el espacio en blanco para conectarse a cualquier controlador de dominio.

Después de conectarse a un controlador de dominio, aparece la información de RootDSE del controlador de dominio. Esta información incluye información sobre el bosque, el dominio y los controladores de dominio. A continuación se muestra un ejemplo de un controlador de dominio basado en Windows Server 2003. En el ejemplo siguiente, suponga que el modo de dominio es Windows Server 2003 y que el modo de bosque es Windows 2000 Server.

Requisitos al cambiar manualmente el nivel funcional

• Debe cambiar el modo de dominio al modo nativo antes de elevar el nivel de dominio si se cumple una de las condiciones siguientes:

  • El nivel funcional del dominio se eleva mediante programación al segundo nivel funcional modificando directamente el valor del atributo msdsBehaviorVersion en el objeto domainDNS.
  • El nivel funcional del dominio se eleva al segundo nivel funcional mediante la utilidad Ldp.exe o la utilidad Adsiedit.msc.

  Si no cambia el modo de dominio al modo nativo antes de aumentar el nivel de dominio, la operación no se completa correctamente y recibe los siguientes mensajes de error:

  SV_PROBLEM_WILL_NOT_PERFORM

  ERROR_DS_ILLEGAL_MOD_OPERATION

  Además, el siguiente mensaje se registra en el registro de Servicios de directorio:

  Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
  

  En este escenario, puede cambiar el modo de dominio al modo nativo mediante el complemento MMC Usuarios & equipos de Active Directory, mediante el complemento MMC Dominios de Active Directory & Confianzas de la interfaz de usuario o cambiando mediante programación el valor del atributo ntMixedDomain a 0 en el objeto domainDNS. Cuando este proceso se usa para elevar el nivel funcional del dominio a 2 (Windows Server 2003), el modo de dominio se cambia automáticamente al modo nativo.

• La transición del modo mixto al modo nativo cambia el ámbito del grupo de seguridad Administradores de esquema y del grupo de seguridad Administradores de empresa a grupos universales. Cuando estos grupos se han cambiado a grupos universales, se registra el siguiente mensaje en el registro del sistema:

  Event Type: Information  
  Event Source: SAM  
  Event ID: 16408  
  Computer:Server Name  
  Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
  

• Cuando se usan las herramientas administrativas de Windows Server 2003 para invocar el nivel funcional del dominio, el atributo ntmixedmode y el atributo msdsBehaviorVersion se modifican en el orden correcto. Sin embargo, esto no siempre ocurre. En el escenario siguiente, el modo nativo se establece implícitamente en un valor de 0 sin cambiar el ámbito del grupo de seguridad Administradores de esquema y el grupo de seguridad Administradores de empresa a universal:

  • El atributo msdsBehaviorVersion que controla el modo funcional del dominio se establece manualmente o mediante programación en el valor de 2.
  • El nivel funcional del bosque se establece en 2 mediante cualquier método. En este escenario, los controladores de dominio bloquean la transición al nivel funcional del bosque hasta que todos los dominios que se encuentran en la red de área local se configuran en modo nativo y el cambio de atributo necesario se realiza en los ámbitos del grupo de seguridad.

Niveles funcionales relevantes para Windows 2000 Server

Windows 2000 Server solo admite el modo mixto y el modo nativo. Además, solo aplica estos modos a la funcionalidad del dominio. En las secciones siguientes se enumeran los modos de dominio de Windows Server 2003 porque estos modos afectan a cómo se actualizan los dominios de Windows NT 4.0 y Windows 2000 Server.

Hay muchas consideraciones al elevar el nivel de sistema operativo del controlador de dominio. Estas consideraciones se deben a las limitaciones de almacenamiento y replicación de los atributos vinculados en los modos de Windows 2000 Server.

Windows 2000 Server mixto (valor predeterminado)

• Controladores de dominio admitidos: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
• Características activadas: grupos locales y globales, compatibilidad con catálogos globales

Windows 2000 Server nativo

• Controladores de dominio admitidos: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Características activadas: anidamiento de grupos, grupos universales, historial de sid, conversión de grupos entre grupos de seguridad y grupos de distribución, puede aumentar los niveles de dominio aumentando la configuración de nivel de bosque.

Windows Server 2003 provisional

• Controladores de dominio admitidos: Windows NT 4.0, Windows Server 2003
• Características admitidas: no hay ninguna característica de todo el dominio activada en este nivel. Todos los dominios de un bosque se elevan automáticamente a este nivel cuando el nivel del bosque aumenta a provisional. Este modo solo se usa al actualizar controladores de dominio de dominios de Windows NT 4.0 a controladores de dominio de Windows Server 2003.

Windows Server 2003

• Controladores de dominio admitidos: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Características admitidas: cambio de nombre del controlador de dominio, atributo de marca de tiempo de inicio de sesión actualizado y replicado. Compatibilidad con contraseñas de usuario en el objeto InetOrgPersonClass. Delegación restringida, puede redirigir los contenedores Usuarios y equipos.

Los dominios que se actualizan desde Windows NT 4.0 o que se crean mediante la promoción de un equipo basado en Windows Server 2003 funcionan en el nivel funcional mixto de Windows 2000. Los dominios de Windows 2000 Server mantienen su nivel funcional de dominio actual cuando los controladores de dominio de Windows 2000 Server se actualizan al sistema operativo Windows Server 2003. Puede elevar el nivel funcional del dominio a Windows 2000 Server nativo o a Windows Server 2003.

Nivel provisional: actualización desde un dominio de Windows NT 4.0

Windows Server 2003 Active Directory permite un nivel funcional de bosque y dominio especial denominado Windows Server 2003 provisional. Este nivel funcional se proporciona para las actualizaciones de dominios existentes de Windows NT 4.0 donde uno o varios controladores de dominio de copia de seguridad (BDC) de Windows NT 4.0 deben funcionar después de la actualización. Los controladores de dominio de Windows 2000 Server no se admiten en este modo. Windows Server 2003 provisional se aplica a los siguientes escenarios:

• Actualizaciones de dominio de Windows NT 4.0 a Windows Server 2003.
• Los BDC de Windows NT 4.0 no se actualizan inmediatamente.
• Dominios de Windows NT 4.0 que contienen grupos con más de 5000 miembros (excepto el grupo de usuarios de dominio).
• No hay planes para implementar controladores de dominio de Windows Server2000 en el bosque en ningún momento.

Windows Server 2003 provisional proporciona dos mejoras importantes a la vez que permite la replicación en bdcs de Windows NT 4.0:

1. Replicación eficaz de grupos de seguridad y compatibilidad con más de 5000 miembros por grupo.
2. Se han mejorado los algoritmos del generador de topologías entre sitios de KCC.

Debido a la eficiencia en la replicación de grupos que se activa en el nivel provisional, el nivel provisional es el nivel recomendado para todas las actualizaciones de Windows NT 4.0. Consulte la sección "Procedimientos recomendados" de este artículo para obtener más detalles.

Configuración del nivel funcional del bosque provisional de Windows Server 2003

Windows Server 2003 provisional se puede activar de tres maneras diferentes. Los dos primeros métodos son muy recomendables. Esto se debe a que los grupos de seguridad usan la replicación de valores vinculados (LVR) después de que el controlador de dominio principal (PDC) del dominio de Windows NT 4.0 se haya actualizado a un controlador de dominio de Windows Server 2003. La tercera opción es menos recomendable porque la pertenencia a grupos de seguridad usa un único atributo multivalor, lo que puede dar lugar a problemas de replicación. Las formas en que se puede activar Windows Server 2003 provisional son:

1. Durante la actualización.

   La opción se presenta en el Asistente para instalación de Dcpromo al actualizar el PDC de un dominio de Windows NT 4.0 que actúa como el primer controlador de dominio en el dominio raíz de un nuevo bosque.

2. Antes de actualizar el PDC de Windows NT 4.0 de Windows NT 4.0 como primer controlador de dominio de un nuevo dominio en un bosque existente mediante la configuración manual del nivel funcional del bosque mediante las herramientas del Protocolo ligero de acceso a directorios (LDAP).

   Los dominios secundarios heredan la configuración de funcionalidad de todo el bosque del bosque en el que se promueven. La actualización del PDC de un dominio de Windows NT 4.0 como dominio secundario en un bosque de Windows Server 2003 existente donde se habían configurado niveles funcionales de bosque provisional mediante el archivo Ldp.exe o el archivo Adsiedit.msc permite a los grupos de seguridad usar la replicación de valores vinculados después de la actualización de la versión del sistema operativo.

3. Después de la actualización mediante herramientas LDAP.

   Use las dos últimas opciones al unirse a un bosque de Windows Server 2003 existente durante una actualización. Este es un escenario común cuando un dominio "raíz vacía" está en posición. El dominio actualizado se une como un elemento secundario de la raíz vacía y hereda la configuración de dominio del bosque.

Procedimientos recomendados

En la sección siguiente se describen los procedimientos recomendados para aumentar los niveles funcionales. La sección se divide en dos partes. "Tareas de preparación" describe el trabajo que debe realizar antes del aumento y "Aumento óptimo de rutas de acceso" analiza las motivaciones y los métodos para diferentes escenarios de aumento de nivel.

Para detectar controladores de dominio de Windows NT 4.0, siga estos pasos:

1. Desde cualquier controlador de dominio basado en Windows Server 2003, abra Usuarios y equipos de Active Directory.

2. Si el controlador de dominio aún no está conectado al dominio adecuado, siga estos pasos para conectarse al dominio adecuado:

   1. Haga clic con el botón derecho en el objeto de dominio actual y, a continuación, haga clic en Conectar al dominio.
   2. En el cuadro de diálogo Dominio, escriba el nombre DNS del dominio al que desea conectarse y, a continuación, haga clic en Aceptar. O bien, haga clic en Examinar para seleccionar el dominio del árbol de dominio y, a continuación, haga clic en Aceptar.

3. Haga clic con el botón derecho en el objeto de dominio y, a continuación, haga clic en Buscar.

4. En el cuadro de diálogo Buscar , haga clic en Búsqueda personalizada.

5. Haga clic en el dominio para el que desea cambiar el nivel funcional.

6. Haga clic en la ficha Opciones avanzadas.

7. En el cuadro Escribir consulta LDAP , escriba lo siguiente y no deje espacios entre caracteres: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

   Nota:

   Esta consulta no distingue mayúsculas de minúsculas.

8. Haga clic en Buscar ahora.

   Aparece una lista de los equipos del dominio que ejecutan Windows NT 4.0 y funcionan como controladores de dominio.

Un controlador de dominio puede aparecer en la lista por cualquiera de los siguientes motivos:

• El controlador de dominio ejecuta Windows NT 4.0 y debe actualizarse.
• El controlador de dominio se actualiza a Windows Server 2003, pero el cambio no se replica en el controlador de dominio de destino.
• El controlador de dominio ya no está en servicio, pero el objeto de equipo del controlador de dominio no se quita del dominio.

Para poder cambiar el nivel funcional del dominio a Windows Server 2003, debe buscar físicamente cualquier controlador de dominio de la lista, determinar el estado actual del controlador de dominio y, a continuación, actualizar o quitar el controlador de dominio según corresponda.

Ejemplo: Tareas de preparación antes del aumento del nivel

En este ejemplo, el entorno se genera del modo mixto de Windows Server 2000 al modo de bosque de Windows Server 2003.

Haga un inventario del bosque para las versiones anteriores de los controladores de dominio.

Si no hay disponible una lista de servidores precisa, siga estos pasos:

1. Para detectar dominios de nivel mixto, controladores de dominio de Windows Server 2000 o controladores de dominio con objetos dañados o que faltan, use dominios de Active Directory y el complemento MMC Confianzas.
2. En el complemento, haga clic en Generar funcionalidad de bosque y, a continuación, haga clic en Guardar como para generar un informe detallado.
3. Si no se encontraron problemas, la opción de aumentar al nivel de bosque de Windows Server 2003 está disponible en la lista desplegable "Niveles funcionales de bosque disponibles" . Al intentar aumentar el nivel de bosque, se busca en los objetos de controlador de dominio de los contenedores de configuración cualquier controlador de dominio que no tenga msds-behavior-version establecido en el nivel de destino deseado. Se supone que son controladores de dominio de Windows Server 2000 o objetos de controlador de dominio de Windows Server más recientes que están dañados.
4. Si se encontraron controladores de dominio o controladores de dominio de versión anterior que tienen objetos de equipo dañados o que faltan, se incluyen en el informe. El estado de estos controladores de dominio debe investigarse y la representación del controlador de dominio en Active Directory debe repararse o quitarse mediante el archivo Ntdsutil.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
216498 Eliminación de datos en Active Directory después de una degradación del controlador de dominio incorrecta

Comprobación de que la replicación de un extremo a otro funciona en el bosque

Para comprobar que la replicación de un extremo a otro funciona en el bosque, use la versión de Windows Server 2003 o una versión más reciente de Repadmin en los controladores de dominio de Windows Server 2000 o Windows Server 2003:

• Repadmin/Replsum * /Sort:Delta[/Errorsonly] para el inventario inicial.

• Repadmin/Showrepl * /CSV>showrepl.csv. Importe a Excel y, a continuación, use data-autofilter> para identificar las características de replicación.

  Use herramientas de replicación como Repadmin para comprobar que la replicación en todo el bosque funciona correctamente.

Compruebe la compatibilidad de todos los programas o servicios con los controladores de dominio de Windows Server más recientes y con el modo de bosque y dominio de Windows Server más alto. Use un entorno de laboratorio para probar exhaustivamente los programas y servicios de producción en busca de problemas de compatibilidad. Póngase en contacto con los proveedores para confirmar la funcionalidad.

Prepare un plan de retroceso que incluya una de las siguientes acciones:

• Desconecte al menos dos controladores de dominio de cada dominio del bosque.
• Cree una copia de seguridad de estado del sistema de al menos dos controladores de dominio de cada dominio del bosque.

Antes de que se pueda usar el plan de retroceso, todos los controladores de dominio del bosque deben retirarse antes del proceso de recuperación.

Después de retirar todos los controladores de dominio anteriores, abra los controladores de dominio desconectados o restaure los controladores de dominio de la copia de seguridad. Quite los metadatos de todos los demás controladores de dominio y vuelva a usarlos. Este es un proceso difícil y debe evitarse.

Ejemplo: Cómo pasar del nivel mixto de Windows Server 2000 al nivel de bosque de Windows Server 2003

Aumente todos los dominios al nivel nativo de Windows Server 2000. Una vez completado esto, aumente el nivel funcional del dominio raíz del bosque al nivel de bosque de Windows Server 2003. Cuando el nivel de bosque se replica en los PDC de cada dominio del bosque, el nivel de dominio se aumenta automáticamente al nivel de dominio de Windows Server 2003. Este método tiene las siguientes ventajas:

• El aumento de nivel en todo el bosque solo se realiza una vez. No es necesario aumentar manualmente cada dominio del bosque al nivel funcional del dominio de Windows Server 2003.
• Se realiza una comprobación de los controladores de dominio de Windows Server 2000 antes del aumento de nivel (consulte los pasos de preparación). El aumento se bloquea hasta que se quitan o actualizan los controladores de dominio problemáticos. Se puede generar un informe detallado enumerando los controladores de dominio de bloqueo y proporcionando datos accionables.
• Se realiza una comprobación de dominios en el nivel intermedio mixto de Windows Server 2000 o Windows Server 2003. El aumento se bloquea hasta que los niveles de dominio se aumenten al menos a Windows Server 2000 nativo. Los dominios de nivel provisional deben aumentarse al nivel de dominio de Windows Server 2003. Se puede generar un informe detallado enumerando los dominios de bloqueo.

Actualizaciones de Windows NT 4.0

Las actualizaciones de Windows NT 4.0 siempre usan el nivel provisional durante la actualización del PDC a menos que se hayan introducido controladores de dominio de Windows Server 2000 en el bosque en el que se actualiza el PDC. Cuando se usa el modo provisional durante la actualización del PDC, los grupos grandes existentes usan la replicación de LVR inmediatamente, evitando los posibles problemas de replicación que se trataron anteriormente en este artículo. Use uno de los métodos siguientes para llegar al nivel provisional durante la actualización:

• Seleccione el nivel provisional durante Dcpromo. Esta opción solo se presenta cuando el PDC se actualiza a un nuevo bosque.
• Establezca el nivel de bosque de un bosque existente en provisional y, a continuación, únase al bosque durante la actualización del PDC. El dominio actualizado hereda la configuración del bosque.
• Después de actualizar o quitar todos los BDC de Windows NT 4.0, cada dominio debe pasar al nivel de bosque y se puede realizar la transición al modo de bosque de Windows Server 2003.

Una razón para evitar el uso del modo provisional es si hay planes para implementar controladores de dominio de Windows Server 2000 después de la actualización o en cualquier momento en el futuro.

Consideración especial para grupos grandes en Windows NT 4.0

En dominios de Windows NT 4.0 maduros, pueden existir grupos de seguridad que contengan más de 5000 miembros. En Windows NT 4.0, cuando cambia un miembro de un grupo de seguridad, solo se replica el único cambio de pertenencia en los controladores de dominio de copia de seguridad. En Windows Server 2000, las pertenencias a grupos son atributos vinculados almacenados en un único atributo multivalor del objeto de grupo. Cuando se realiza un único cambio en la pertenencia de un grupo, todo el grupo se replica como una sola unidad. Dado que la pertenencia a grupos se replica como una sola unidad, existe la posibilidad de que las actualizaciones de la pertenencia a grupos se "pierdan" cuando se agreguen o quiten distintos miembros al mismo tiempo en distintos controladores de dominio. Además, el tamaño de este único objeto puede ser mayor que el búfer usado para confirmar una entrada en la base de datos. Para obtener más información, consulte la sección "Problemas del almacén de versiones con grupos grandes" de este artículo. Por estas razones, el límite recomendado para los miembros del grupo es 5000.

La excepción a la regla de 5000 miembros es el grupo principal (de forma predeterminada, es el grupo "Usuarios del dominio"). El grupo principal usa un mecanismo "calculado" basado en el "primarygroupID" del usuario para determinar la pertenencia. El grupo principal no almacena miembros como atributos vinculados de varios valores. Si el grupo principal del usuario se cambia a un grupo personalizado, su pertenencia al grupo Usuarios del dominio se escribe en el atributo vinculado del grupo y ya no se calcula. El nuevo grupo principal Rid se escribe en "primarygroupID" y el usuario se quita del atributo miembro del grupo.

Si el administrador no selecciona el nivel provisional para el dominio de actualización, debe seguir estos pasos antes de la actualización:

1. Haga un inventario de todos los grupos grandes e identifique los grupos de más de 5000, excepto el grupo de usuarios de dominio.
2. Todos los grupos que tengan más de 5000 miembros deben dividirse en grupos más pequeños de menos de 5000 miembros.
3. Busque todos los Access Control Listas donde se especificaron los grupos grandes y agregue los grupos pequeños que creó en el paso 2.El nivel de bosque provisional de Windows Server 2003 evita que los administradores tengan que detectar y reasignar grupos de seguridad globales con más de 5000 miembros.

Problemas del almacén de versiones con grupos grandes

Durante las operaciones de ejecución prolongada, como búsquedas profundas o confirmaciones en un único atributo grande, Active Directory debe asegurarse de que el estado de la base de datos es estático hasta que finalice la operación. Un ejemplo de búsquedas profundas o confirmaciones en atributos grandes es un grupo grande que usa almacenamiento heredado.

A medida que las actualizaciones de la base de datos se producen continuamente localmente y desde asociados de replicación, Active Directory proporciona un estado estático mediante la puesta en cola de todos los cambios entrantes hasta que finalice la operación de larga duración. En cuanto finaliza la operación, los cambios en cola se aplican a la base de datos.

La ubicación de almacenamiento de estos cambios en cola se conoce como "almacén de versiones" y tiene aproximadamente 100 megabytes. El tamaño del almacén de versiones varía y se basa en la memoria física. Si una operación de larga duración no finaliza antes de que se agote el almacén de versiones, el controlador de dominio dejará de aceptar actualizaciones hasta que se confirmen la operación de ejecución prolongada y los cambios en cola. Los grupos que alcanzan un gran número (más de 5000 miembros) ponen al controlador de dominio en riesgo de agotar el almacén de versiones siempre que se confirme el grupo grande.

Windows Server 2003 presenta un nuevo mecanismo de replicación para atributos multivalor vinculados que se denomina replicación de valor de vínculo (LVR). En lugar de replicar todo el grupo en una única operación de replicación, LVR soluciona este problema replicando cada miembro del grupo como una operación de replicación independiente. LVR está disponible cuando el nivel funcional del bosque se eleva al nivel de bosque provisional de Windows Server 2003 o al nivel de bosque de Windows Server 2003. En este nivel funcional, LVR se usa para replicar grupos entre controladores de dominio de Windows Server 2003.