Functionele niveaus van Active Directory Domain Services
Functionele niveaus bepalen de beschikbare AD DS-domein- of bosfunctionaliteiten (Active Directory Domain Services). Ze bepalen ook welke Windows Server-besturingssystemen u kunt installeren op domeincontrollers in het domein of bos. Functionele niveaus zijn echter niet van invloed op welke besturingssystemen u kunt uitvoeren op werkstations en lidservers die zijn gekoppeld aan het domein of forest. In dit artikel wordt beschreven welke werkingsniveaus compatibel zijn met welke versies van Windows Server.
Wanneer u AD DS implementeert, stelt u het functionele domein- en forestniveau in op de hoogste waarde die uw omgeving kan ondersteunen om zoveel mogelijk AD DS-functies te kunnen gebruiken. Wanneer u een nieuw forest implementeert, moet u zowel het forest- als domeinfunctionaliteitsniveau instellen. U kunt het functionele domeinniveau instellen op een waarde die hoger is dan het functionele forestniveau, maar u kunt het functionele domeinniveau niet instellen op een waarde lager dan het functionele forestniveau.
Functionele niveaus van Windows Server 2025
U kunt de volgende besturingssystemen gebruiken als domeincontrollers (DC's) met het forest- en domeinfunctiesniveau van Windows Server 2025.
- Windows Server 2025
Functies op het functionaliteitsniveau van Windows Server 2025 forest en domein
Het functionele domeinniveau van Windows Server 2025 bevat alle functies die beschikbaar zijn in eerdere functionaliteitsniveaus van domeinen, maar heeft ook de volgende nieuwe functies:
- Optionele functie voor database 32k-pagina's. Zie Database 32k-pagina's voor Active Directory-voor meer informatie over het gebruik van de paginagrootte van de 32k-database.
Zie Wat is er nieuw in Windows Server 2025voor meer informatie over deze nieuwe functies.
Notitie
Windows Server 2019 en Windows Server 2022 gebruiken Windows Server 2016 als de meest recente functionele niveaus.
Functionele niveaus van Windows Server 2016
U kunt de volgende besturingssystemen gebruiken als domeincontrollers (DC's) met het forest- en domeinfunctiesniveau van Windows Server 2016.
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Notitie
Domeinen moeten DFS-R gebruiken als de engine om SYSVOL te repliceren. Zie Gestroomlijnde migratie van FRS naar DFSR SYSVOL-blogvoor meer informatie over migratie naar DFSR SYSVOL. Windows Server 2016 is de laatste Windows Server-release die ondersteuning biedt voor de File Replication Service (FRS). Zie Windows Server-versie 1709 biedt geen FRS-ondersteuning meer voor meer informatie over het oplossen van dit probleem.
Functies op forest- en domeinniveau van Windows Server 2016
Alle standaard Active Directory-functies in eerdere functionele forestniveaus plus de volgende functies zijn beschikbaar:
Alle standaard Active Directory-functies in eerdere functionele domeinniveaus plus de volgende functies zijn beschikbaar:
DC's kunnen de automatische vernieuwing van de New Technology LAN Manager (NTLM) en andere wachtwoordgebaseerde geheimen ondersteunen voor een gebruikersaccount dat is geconfigureerd om PKI-authenticatie (Public Key Infrastructure) te vereisen. Deze configuratie wordt ook wel 'Smartcard vereist voor interactieve aanmelding' genoemd.
DC's kunnen ondersteuning bieden voor netwerk-NTLM wanneer een gebruiker is beperkt tot specifieke apparaten die lid zijn van een domein.
Kerberos-clients die zich succesvol authenticeren met de PKInit Freshness-extensie verkrijgen de verse openbare sleutel-ID (SID).
Zie Wat is er nieuw in Kerberos-verificatie en Wat is er nieuw in Credential Protection voor meer informatie
Functionele niveaus van Windows Server 2012 R2
U kunt de volgende besturingssystemen gebruiken als domeincontrollers (DC's) met het forest- en domeinfunctionaliteitsniveau van Windows Server 2012 R2.
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
Functies op functioneel niveau voor Windows Server 2012 R2-forest en domein
Alle standaard Active Directory-functies, alle functies van het functionele niveau van het Windows Server 2012-domein, plus de volgende functies:
DC-zijde beschermingen voor Beschermde Gebruikers. Wanneer beveiligde gebruikers worden geverifieerd bij een Windows Server 2012 R2-domein, kunnen ze het volgende niet meer:
Verifiëren met NTLM-verificatie
DES- of RC4-coderingssuites gebruiken in Kerberos-pre-authenticatie
Gedelegeerd worden met onbeperkte of beperkte delegatie
Gebruikerstickets (TGT's) verlengen na de eerste levensduur van 4 uur
Verificatiebeleid
- Nieuw forest-gebaseerd verificatiebeleid kan worden toegepast op accounts. Het beleid kan bepalen vanaf welke hosts een account zich kan aanmelden en toegangsbeheervoorwaarden toepassen voor verificatie op services die als account worden uitgevoerd.
Verificatiebeleidssilo's
- Nieuw forest-gebaseerd Active Directory-object dat moet worden gebruikt voor het classificeren van accounts voor authenticatiebeleid of voor authenticatie-isolatie. Het nieuwe object kan een relatie maken tussen gebruikers-, beheerde service- en computeraccounts.
Functionele en domeinniveaus in een eerdere versie van Windows Server
Als u functionele niveaus voor een eerdere versie van Windows Server wilt identificeren, raadpleegt u Understanding Active Directory Domain Services (AD DS) Functional Levels.
Volgende stappen
Als u het functionele niveau van uw domein of forest wilt verhogen, kunt u de volgende resources gebruiken:
Gebruik de PowerShell-opdracht Set-ADForestMode om het functionele forestniveau te verhogen.
Gebruik de PowerShell-opdracht Set-ADDomainMode om het functionele domeinniveau te verhogen.
Zie Active Directory-domein- en forestfunctionaliteitsniveaus verhogenvoor meer informatie over het verhogen van het domein- en forestfunctionaliteitsniveau.