Partilhar via


Níveis funcionais dos Serviços de Domínio do Active Directory

Os níveis funcionais determinam os recursos de domínio ou floresta do AD DS (Active Directory Domain Services) disponíveis. Eles também determinam quais sistemas operacionais do Windows Server você pode executar em controladores de domínio no domínio ou na floresta. No entanto, os níveis funcionais não afetam quais sistemas operacionais podem ser executados em estações de trabalho e servidores membro que ingressaram no domínio ou na floresta. Este artigo descreve quais níveis de funcionamento são compatíveis com quais versões do Windows Server.

Ao implantar o AD DS, defina os níveis funcionais de domínio e floresta com o valor mais alto que seu ambiente pode suportar para usar o maior número possível de recursos do AD DS. Ao implantar uma nova floresta, você precisa definir os níveis funcionais da floresta e do domínio. Você pode definir o nível funcional do domínio para um valor maior que o nível funcional da floresta, mas não pode definir o nível funcional do domínio com um valor inferior ao nível funcional da floresta.

Níveis funcionais do Windows Server 2025

Você pode usar os seguintes sistemas operacionais como controladores de domínio (DCs) com o nível de função de domínio e floresta do Windows Server 2025.

  • Windows Server 2025

Recursos do nível funcional do domínio e floresta do Windows Server 2025

O nível funcional de domínio do Windows Server 2025 inclui todos os recursos disponíveis em níveis funcionais de domínio anteriores, mas também tem os seguintes novos recursos:

Para saber mais sobre esses novos recursos, veja Novidades no Windows Server 2025.

Observação

Windows Server 2019 e Windows Server 2022 usam Windows Server 2016 como os níveis funcionais mais recentes.

Níveis funcionais do Windows Server 2016

Você pode usar os seguintes sistemas operacionais como controladores de domínio (DCs) com o nível de função de domínio e floresta do Windows Server 2016.

  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016

Observação

Os domínios devem usar o DFS-R como o mecanismo para replicar o SYSVOL. Para saber mais sobre como migrar para o DFSR, consulte o blog Migração simplificada do FRS para o DFSR SYSVOL. O Windows Server 2016 é a última versão do Windows Server que dá suporte ao FRS (Serviço de Replicação de Arquivos). Para saber mais, consulte Windows Server versão 1709 não dá mais suporte ao FRS para obter informações sobre como contornar esse problema.

Recursos do nível funcional do domínio e floresta do Windows Server 2016

Todos os recursos padrão do Active Directory em níveis funcionais de floresta anteriores, além dos seguintes recursos, estão disponíveis:

Todos os recursos padrão do Active Directory em níveis funcionais de domínio anteriores, além dos seguintes recursos, estão disponíveis:

  • Os DCs podem dar suporte à distribuição automática do NTLM (New Technology LAN Manager) e outros segredos baseados em senha em uma conta de usuário configurada para exigir autenticação PKI (infraestrutura de chave pública). Essa configuração também é conhecida como "Cartão inteligente necessário para logon interativo".

  • Os DCs podem dar suporte à permissão de NTLM de rede quando um usuário é restrito a dispositivos específicos ingressados no domínio.

  • Os clientes Kerberos que se autenticam com êxito com a Extensão PKInit Freshness obterão o novo SID de identidade de chave pública.

    Para saber mais, confira Novidades na autenticação Kerberos e Novidades na proteção de credenciais

Níveis funcionais do Windows Server 2012 R2

Você pode usar os seguintes sistemas operacionais como controladores de domínio (DCs) com o nível de função de domínio e floresta do Windows Server 2012 R2.

  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Recursos do nível funcional do domínio e floresta do Windows Server 2012 R2

Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows Server 2012, além destes:

  • Proteções no lado do DC para usuários protegidos. Quando os Usuários Protegidos se autenticam em um domínio do Windows Server 2012 R2, eles não podem mais:

    • Autenticar-se com a autenticação NTLM

    • Usar pacotes de criptografia DES ou RC4 na pré-autenticação Kerberos

    • Ser delegados com delegação restrita ou irrestrita

    • Renovar tíquetes de usuário (TGTs) além do tempo de vida inicial de quatro horas

  • Políticas de autenticação

    • Novas políticas de autenticação baseadas em floresta podem ser aplicadas às contas. As políticas podem controlar de quais hosts uma conta pode fazer logon e aplicar condições de controle de acesso para autenticação a serviços em execução como uma conta.
  • Silos de política de autenticação

    • Novo objeto do Active Directory baseado em floresta a ser usado para classificar contas para políticas de autenticação ou para isolamento de autenticação. O novo objeto pode criar uma relação entre contas de usuário, serviço gerenciado e computador.

Níveis funcionais e de domínio em uma versão anterior do Windows Server

Se procura identificar níveis funcionais para uma versão anterior do Windows Server, consulte Entenda os níveis funcionais do AD DS (Serviços do Domínio do Active Directory.

Próximas etapas

Para aumentar o nível funcional do seu domínio ou floresta, você pode usar os seguintes recursos: