Compartir a través de


Niveles funcionales de Servicios de dominio de Active Directory en Windows Server

Los niveles funcionales determinan las funcionalidades disponibles de dominio o bosque de Active Directory Domain Services (AD DS). También determinan los sistemas operativos Windows Server que se pueden ejecutar en los controladores de dominio del dominio o del bosque. Sin embargo, los niveles funcionales no afectan a los sistemas operativos que se pueden ejecutar en las estaciones de trabajo y los servidores miembro que están unidos al dominio o al bosque. En este artículo se describe qué niveles de funcionamiento son compatibles con las versiones de Windows Server.

Al implementar AD DS, establezca los niveles funcionales de dominio y bosque en el valor más alto que pueda admitir el entorno para usar tantas características de AD DS como sea posible. Al implementar un nuevo bosque, debe establecer los niveles funcionales de bosque y dominio. Puede establecer el nivel funcional del dominio en un valor que sea superior al nivel funcional del bosque, pero no puede establecerlo en un valor que sea inferior al nivel funcional del bosque.

Niveles funcionales de Windows Server 2025

Puede usar los siguientes sistemas operativos como controladores de dominio (DC) con el nivel funcional de dominio y bosque de Windows Server 2025.

  • Windows Server 2025

Características del nivel funcional de bosque y dominio de Windows Server 2025

El nivel funcional de dominio de Windows Server 2025 incluye todas las características disponibles en los niveles funcionales de dominio anteriores, pero también tiene las siguientes características nuevas:

Para obtener más información sobre estas nuevas características, consulte Novedades de Windows Server 2025.

Nota:

Windows Server 2019 y Windows Server 2022 usan Windows Server 2016 como los niveles funcionales más recientes.

Niveles funcionales de Windows Server 2016

Puede usar los siguientes sistemas operativos como controladores de dominio (DC) con el nivel funcional de dominio y bosque de Windows Server 2016.

  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016

Nota:

Los dominios deben usar DFS-R como motor para replicar SYSVOL. Para obtener más información sobre la migración a DFSR, consulte el blog Migración simplificada de FRS a DFSR SYSVOL. Windows Server 2016 es la última versión de Windows Server que admite el servicio de replicación de archivos (FRS). Para obtener más información, consulte Windows Server versión 1709 ya no admite FRS para obtener información sobre cómo solucionar este problema.

Características del nivel funcional de bosque y dominio de Windows Server 2016

Todas las características predeterminadas de Active Directory en niveles funcionales de bosque anteriores, además de las siguientes características, están disponibles:

Todas las características predeterminadas de Active Directory en niveles funcionales de dominio anteriores, además de las siguientes características, están disponibles:

  • Los controladores de dominio pueden admitir la sustitución automática de New Technology LAN Manager (NTLM) y otros secretos basados en contraseña en una cuenta de usuario configurada para requerir autenticación de infraestructura de clave pública (PKI). Esta configuración también se conoce como "tarjeta inteligente requerida para el inicio de sesión interactivo".

  • Los controladores de dominio pueden admitir NTLM de red cuando un usuario está restringido a determinados dispositivos unidos a un dominio.

  • Los clientes Kerberos que se autentican correctamente con la extensión de actualización PKInit obtendrán el identificador de seguridad de identidad (SID) de clave pública actualizado.

    Para más información, consulte Novedades de la autenticación Kerberos y Novedades en la protección de credenciales

Niveles funcionales de Windows Server 2012 R2

Puede usar los siguientes sistemas operativos como controladores de dominio (DC) con el nivel funcional de dominio y bosque de Windows Server 2012 R2.

  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Características del nivel funcional de bosque y dominio de Windows Server 2012 R2

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows Server 2012 y las características siguientes:

  • Protecciones en el lado del controlador de dominio para los usuarios protegidos. Cuando los usuarios protegidos se autentican en un dominio de Windows Server 2012 R2, ya no pueden:

    • Autenticarse mediante la autenticación NTLM

    • Uso de los conjuntos de cifrado DES o RC4 en la autenticación previa de Kerberos

    • Delegarse mediante una delegación con o sin restricciones

    • Renovar los vales de usuario (TGT) más allá de las 4 horas de vigencia inicial

  • Authentication Policies

    • Las nuevas directivas de autenticación basadas en bosques se pueden aplicar a las cuentas. Las directivas pueden controlar desde qué hosts una cuenta puede iniciar sesión y aplicar condiciones de control de acceso para la autenticación a los servicios que se ejecutan como una cuenta.
  • Authentication Policy Silos

    • Nuevo objeto de Active Directory basado en bosque que se usará para clasificar cuentas para directivas de autenticación o para aislamiento de autenticación. El nuevo objeto puede crear una relación entre cuentas de usuario, servicio administrado y equipo.

Niveles funcionales y de dominio en una versión anterior de Windows Server

Si quiere identificar los niveles funcionales de una versión anterior de Windows Server, consulte Descripción de los niveles funcionales de Servicios de dominio de Active Directory (AD DS).

Pasos siguientes

Para elevar el nivel funcional del dominio o bosque, puede usar los siguientes recursos: