Poziomy funkcjonalności usług Active Directory Domain Services
Poziomy funkcjonalności określają dostępne możliwości domeny lub lasu usług Active Directory Domain Services (AD DS). Określają one również, które systemy operacyjne Windows Server można uruchamiać na kontrolerach domeny w domenie lub lesie. Jednak poziomy funkcjonalności nie mają wpływu na systemy operacyjne, które można uruchamiać na stacjach roboczych i serwerach członkowskich dołączonych do domeny lub lasu. W tym artykule opisano, które poziomy działania są zgodne z wersjami systemu Windows Server.
Podczas wdrażania usług AD DS ustaw poziomy funkcjonalności domeny i lasu na najwyższą wartość, którą środowisko może obsługiwać, aby maksymalnie wykorzystać funkcje usług AD DS. Podczas wdrażania nowego lasu należy ustawić zarówno poziomy funkcjonalności lasu, jak i domeny. Można ustawić poziom funkcjonalności domeny na wartość wyższą niż poziom funkcjonalności lasu, ale nie można ustawić poziomu funkcjonalności domeny na wartość niższą niż poziom funkcjonalności lasu.
Poziomy funkcjonalności systemu Windows Server 2025
Można użyć następujących systemów operacyjnych jako kontrolerów domeny (DC) z lasem systemu Windows Server 2025 i poziomem funkcji domeny.
- Windows Server 2025
Funkcje poziomu funkcjonalności lasu i domeny w systemie Windows Server 2025
Poziom funkcjonalności domeny systemu Windows Server 2025 obejmuje wszystkie funkcje dostępne we wcześniejszych poziomach funkcjonalności domeny, ale także następujące nowe funkcje:
- Opcjonalna funkcja bazy danych z 32k stronami. Aby dowiedzieć się więcej na temat używania rozmiaru strony bazy danych 32k, zobacz Strony bazy danych 32k dla Active Directory.
Aby dowiedzieć się więcej o tych nowych funkcjach, zobacz Co nowego w systemie Windows Server 2025.
Notatka
Systemy Windows Server 2019 i Windows Server 2022 używają systemu Windows Server 2016 jako najnowszych poziomów funkcjonalności.
Poziomy funkcjonalności systemu Windows Server 2016
Można używać następujących systemów operacyjnych jako kontrolerów domeny (DCs) z lasem domenowym i poziomem funkcji domeny systemu Windows Server 2016.
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Notatka
Domeny muszą używać DFS-R jako mechanizmu do replikowania folderu SYSVOL. Aby dowiedzieć się więcej na temat migracji do usługi DFSR, zobacz blog o usprawnionej migracji usługi FRS do DFSR SYSVOL. Windows Server 2016 to ostatnia wersja systemu Windows Server, która obsługuje usługę replikacji plików (FRS). Aby dowiedzieć się więcej, zobacz Windows Server w wersji 1709 nie obsługuje już usługi FRS, aby uzyskać informacje na temat sposobu obejścia tego problemu.
Funkcje poziomu funkcjonalności lasu i domeny systemu Windows Server 2016
Dostępne są wszystkie domyślne funkcje usługi Active Directory we wcześniejszych poziomach funkcjonalności lasu oraz następujące funkcje:
Dostępne są wszystkie domyślne funkcje usługi Active Directory we wcześniejszych poziomach funkcjonalności domeny oraz następujące funkcje:
Kontrolery domeny mogą obsługiwać automatyczne aktualizowanie tajemnic LAN Manager (NTLM) i innych tajnych danych opartych na hasłach na koncie użytkownika wymagającym uwierzytelniania za pomocą infrastruktury kluczy publicznych (PKI). Ta konfiguracja jest również znana jako "Karta inteligentna wymagana do logowania interakcyjnego".
Kontrolery domen mogą obsługiwać dozwolenie na uwierzytelnianie NTLM przez sieć, gdy użytkownik jest ograniczony do korzystania z określonych urządzeń dołączonych do domeny.
Klienci protokołu Kerberos pomyślnie uwierzytelniający się za pomocą rozszerzenia PKInit Freshness otrzymują identyfikator zabezpieczeń (SID) aktualnego klucza publicznego.
Aby uzyskać więcej informacji, zobacz Co nowego w usłudze Kerberos Authentication i Co nowego w usłudze Credential Protection
Poziomy funkcjonalności systemu Windows Server 2012 R2
Można użyć następujących systemów operacyjnych jako kontrolerów domeny (DCs) z lasem systemu Windows Server 2012 R2 i poziomem funkcji domeny.
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
Funkcje poziomów funkcjonalnych lasu i domeny w systemie Windows Server 2012 R2
Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje z poziomu funkcjonalności domeny systemu Windows Server 2012 oraz następujące funkcje:
Zabezpieczenia po stronie prądu stałego dla chronionych użytkowników. Gdy użytkownicy chronieni uwierzytelniają się w domenie systemu Windows Server 2012 R2, nie są już w stanie:
Uwierzytelnianie przy użyciu uwierzytelniania NTLM
Użyj mechanizmów szyfrowania DES lub RC4 we wstępnym uwierzytelnianiu protokołu Kerberos
Delegowanie nieograniczone lub ograniczone
Odnów bilety użytkowników (TGT) na okres przekraczający początkowy czas trwania 4 godziny.
Zasady uwierzytelniania
- Nowe zasady uwierzytelniania oparte na lasach można stosować do kont. Zasady mogą kontrolować, z których hostów konto może się zalogować, i stosować warunki kontroli dostępu przy uwierzytelnianiu do usług uruchomionych jako konto.
Silosy zasad uwierzytelniania
- Nowy obiekt usługi Active Directory bazujący na lesie, który ma być używany do klasyfikowania kont w ramach zasad uwierzytelniania lub izolacji uwierzytelniania. Nowy obiekt może utworzyć relację między kontami użytkowników, usługami zarządzanymi i komputerami.
Poziomy funkcjonalności i domeny w poprzedniej wersji systemu Windows Server
Jeśli chcesz zidentyfikować poziomy funkcjonalności poprzedniej wersji systemu Windows Server, zobacz Understanding Active Directory Domain Services (AD DS) Functional Levels.
Następne kroki
Aby podnieść poziom funkcjonalności domeny lub lasu, możesz użyć następujących zasobów:
Użyj polecenia programu PowerShell Set-ADForestMode, aby podnieść poziom funkcjonalności lasu.
Użyj polecenia programu PowerShell Set-ADDomainMode, aby podnieść poziom funkcjonalności domeny.
Aby dowiedzieć się więcej na temat podnoszenia poziomów funkcjonalności domeny i lasu usługi Active Directory, zobacz Jak podnieść poziomy funkcjonalności domeny i lasu.