Active Directory 回收站，提供在运行 Active Directory域服务(AD DS) 时还原整个已删除对象的功能。
在默认情况下，随后添加到林的所有域都将以 Windows Server 2008 R2域功能级别运行。
如果计划仅包括在整个林中运行 Windows Server 2008 R2 的域控制器，则为便于进行管理可以选择此林功能级别。如果这样做，您将永远不必为在林中创建的每个域提升域功能级别。
•服务的自动 SPN 管理，适用于计算机帐户的名称或 DNS 主机名发生更改时，运行于特定计算机上托管服务帐户上下文下的服务。
林级别
林功能级别
启用的功能
Windows 2000
所有默认的 Active Directory 功能。
Windows Server 2003
所有默认的 Active Directory 功能及以下功能：
改进的知识一致性检查器 (KCC) 的算法和可伸缩性。站点间拓扑生成器 (ISTG) 使用改进的算法，可缩放以支持具有远远大于在 Windows 选择算法是一种在 Windows 2000林功能级别选择 ISTG 的入侵性较小的机制。
改进的 ISTG 算法（更好的缩放 ISTG 用于连接林中所有站点的算法）。
Windows Server 2008 R2
所有默认的 Active Directory 功能、所有来自 Windows 2000 纯模式、Windows Server 2003 和 Windows Server 2008 功能级别的功能，以及以下功能：
•身份验证机制保证，将对域用户进行身份验证所用的登录方法类型（智能卡或用户名/密码）相关信息封装在每个用户的 Kerberos 令牌中。如果在已部署联合身份管理基础结构（如 Active Directory 联合身份验证服务 (AD FS)）的网络环境中启用此功能，则每当用户尝试访问已部署为根据用户登录方法确定是否授权的声明感知应用程序时，都会提取令牌中的信息。
所有默认的 Active Directory 功能、所有来自indows2000纯模式域功能级别的功能，以及以下功能：
•准备要用于域控制器重命名的域管理工具 Netdom.exe 的可用性。
•更新登录时间戳。将使用用户或计算机的上次登录时间来更新lastLogonTimestamp属性。可以在域内复制该属性。
Windows活动目录功能级别详细列表
域级别
Windows 2000纯模式
所有默认的 Active Directory 功能及以下功能：
•为分发组和安全组启用的通用组。
•组嵌套。
•已启用组转换，可在安全组和分发组之间进行转换。
•安全标识符 (SID) 历史记录。
Windows Server 2003
在域目录分区中创建动态辅助类（称为dynamicObject）的实例的功能。
将inetOrgPerson对象实例转换为User对象实例的功能，反之亦然。
创建新组（称为应用程序基本组和轻型目录访问协议 (LDAP) 查询组）类型的实例以支持基于角色的身份验证的功能。
在架构中停用并重新定义属性和类别。
Windows Server 2008
•SYSVOL 的分布式文件系统 (DFS) 复制支持，可提供 SYSVOL 内容的更稳健更详细的复制。
•Kerberos 身份验证协议的高级加密服务（AES 128 和 256）支持。
•上次交互式登录信息，将显示用户上次成功交互式登录的时间、来自什么工作站，以及自上次登录失败的登录尝试次数。
•严格的密码策略 (FGPP)，这可以为域中的用户和全局安全组指定密码和帐户锁定策略。
Windows Server 2003林功能级别上可用的所有功能，但不包括任何其他功能。但在默认情况下，随后添加到林的所有域，将在 Windows Server 2008域功能级别进行操作。
Windows Server 2008 R2
Windows Server 2003林功能级别上可用的所有功能，以及下列功能：
•在inetOrgPerson和用户对象上将userPassword属性设置为有效密码的功能。
•重定向用户和计算机容器的功能。默认情况下，已提供了两个已知的容器，用于容纳计算机和用户/组帐户：即cn=Computers,<域根> 和cn=Users,<域根>。该功能可用于定义这些帐户新的已知位置。
•授权管理器能够将其授权策略存储在 Active Directory域服务(AD DS) 中。
林信任。
域重命名。
链接值复制（组成员身份中的更改为各个成员存储并复制值，而不是作为单个单位复制整个成员身份）。在不同域控制器中同时添加或删除不同成员时，这种更改可在复制期间占用更少的网络带宽并降低处理器使用率，同时消除丢失更新可能性。
部署运行 Windows Server 2008 的只读域控制器 (RODC) 的功能。
•包含受限制的委派，以便使应用程序可通过 Kerberos 身份验证协议充分利用用户凭据的安全委派。可以将委派配置为仅允许特定的目标服务。
•支持选择性的身份验证，通过它可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。
Windows Server 2008
所有默认的 Active Directory 功能、所有来自 Windows Server 2003域功能级别的功能，以及下列功能：