Funkční úrovně služby Active Directory Domain Services

• Platí pro:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Úrovně funkčnosti určují dostupné možnosti domény nebo doménové struktury služby Active Directory Domain Services (AD DS). Určují také, které operační systémy Windows Server můžete spouštět na řadičích domény v doméně nebo lese. Funkční úrovně ale neovlivňují, které operační systémy můžete spouštět na pracovních stanicích a členských serverech připojených k doméně nebo doménové struktuře. Tento článek popisuje, které funkční úrovně jsou kompatibilní s verzemi Windows Serveru.

Když nasadíte službu AD DS, nastavte úroveň funkčnosti domény a doménové struktury na nejvyšší hodnotu, kterou vaše prostředí podporuje, aby bylo možné používat co nejvíce funkcí služby AD DS. Když nasadíte nový les, musíte nastavit funkční úrovně lesa i domény. Úroveň funkčnosti domény můžete nastavit na hodnotu, která je vyšší než úroveň funkčnosti doménové struktury, ale nemůžete nastavit úroveň funkčnosti domény na hodnotu nižší než úroveň funkčnosti doménové struktury.

Funkční úrovně Windows Serveru 2025

Následující operační systémy můžete použít jako řadiče domény (DCS) s doménovou strukturou Systému Windows Server 2025 a úrovní funkce domény.

• Windows Server 2025

Funkce doménové struktury Windows Serveru 2025 a úrovně funkčnosti domény

Úroveň funkčnosti domény systému Windows Server 2025 zahrnuje všechny funkce dostupné v dřívějších úrovních funkčnosti domény, ale má také následující nové funkce:

• Volitelná funkce databáze 32 tisíc stránek Další informace o použití velikosti stránky databáze 32k naleznete v tématu Stránky databáze 32k pro službu Active Directory.

Další informace o těchto nových funkcích najdete v tématu Novinky v systému Windows Server 2025.

Poznámka

Windows Server 2019 a Windows Server 2022 používají Windows Server 2016 jako nejnovější úrovně funkčnosti.

Funkční úrovně Windows Serveru 2016

Následující operační systémy můžete použít jako řadiče domény (DCS) s doménovou strukturou Windows Serveru 2016 a úrovní funkcí domény.

• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016

Poznámka

Domény musí používat DFS-R jako engine k replikaci SYSVOL. Další informace o migraci na DFSR najdete v tématu Zjednodušená migrace FRS na DFSR SYSVOL blog. Windows Server 2016 je poslední verze Windows Serveru, která podporuje službu replikace souborů (FRS). Další informace najdete v tématu Windows Server verze 1709 už nepodporuje FRS, kde se dozvíte, jak tento problém obejít.

Funkce doménové struktury Windows Serveru 2016 a úrovně funkčnosti domény

K dispozici jsou všechny výchozí funkce služby Active Directory v dřívějších úrovních funkčnosti doménové struktury a následující funkce:

• Správa privilegovaného přístupu (PAM) pomocí Microsoft Identity Manageru (MIM)

K dispozici jsou všechny výchozí funkce služby Active Directory v dřívějších úrovních funkčnosti domény a následující funkce:

• Řadiče domény můžou podporovat automatické spouštění technologie LAN Manager (NTLM) a dalších tajných kódů založených na heslech na uživatelském účtu nakonfigurovaného tak, aby vyžadovaly ověřování infrastruktury veřejných klíčů (PKI). Tato konfigurace se také označuje jako čipová karta požadovaná pro interaktivní přihlášení.

• Řadiče domény můžou podporovat povolení síťového protokolu NTLM, pokud je uživatel omezen na konkrétní zařízení připojená k doméně.

• Klienti Kerberos se úspěšně autentizují pomocí rozšíření pro svěžest PKInit, a tím získávají identifikátor zabezpečení identity s aktuálním veřejným klíčem (SID).

  Další informace najdete v tématu Novinky v ověřování Kerberos a Novinky v ochraně přihlašovacích údajů

Funkční úrovně Windows Serveru 2012 R2

Následující operační systémy můžete použít jako řadiče domény (DCS) s doménovou strukturou Windows Serveru 2012 R2 a úrovní funkcí domény.

• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

Funkce doménové struktury Windows Serveru 2012 R2 a úrovně funkčnosti domény

Všechny výchozí funkce služby Active Directory, všechny funkce z úrovně funkčnosti domény Windows Serveru 2012 a následující funkce:

• Ochrany na straně DC pro chráněné uživatele Když se chránění uživatelé ověřují v doméně Windows Serveru 2012 R2, už nemůžou:

  • Ověřte se pomocí NTLM autentizace

  • Použití šifrovacích sad DES nebo RC4 v předběžném ověření protokolu Kerberos

  • Delegujte s neomezeným nebo omezeným delegováním

  • Prodloužení platnosti lístků uživatelů (TGT) nad rámec počáteční 4hodinové životnosti

• Zásady ověřování

  • Nové zásady ověřování založené na lesní struktuře lze použít u účtů. Zásady můžou řídit, ze kterých hostitelů se účet může přihlásit, a použít podmínky řízení přístupu pro ověřování u služeb spuštěných jako účet.

• Sila zásad ověřování

  • Nový objekt služby Active Directory založený na lesní doméně, který se má použít ke klasifikaci účtů pro zásady ověřování nebo izolaci ověřování. Nový objekt může vytvořit vztah mezi účty uživatelů, spravovaných služeb a počítačů.

Úrovně funkčnosti a domény v předchozí verzi Windows Serveru

Pokud hledáte identifikaci úrovní funkčnosti pro předchozí verzi Windows Serveru, přečtěte si téma Principy úrovní funkčnosti služby Active Directory Domain Services (AD DS).

Další kroky

Pokud chcete zvýšit funkční úroveň domény nebo lesa, můžete použít následující zdroje:

• Pomocí příkazu PowerShellu Set-ADForestMode zvyšte úroveň funkčnosti doménové struktury.

• Pomocí příkazu PowerShellu Set-ADDomainMode zvýšit úroveň funkčnosti domény.

• Další informace o zvýšení úrovní funkčnosti domény a doménové struktury najdete v tématu Jak zvýšit úroveň funkčnosti domény a doménové struktury služby Active Directory.