Funktionsnivåer för Active Directory Domain Services

• Gäller för:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Funktionsnivåer bestämmer tillgängliga funktioner för Active Directory Domain Services (AD DS) domän eller skog. De avgör också vilka Windows Server-operativsystem du kan köra på domänkontrollanter i domänen eller skogen. Funktionsnivåer påverkar dock inte vilka operativsystem du kan köra på arbetsstationer och medlemsservrar som är anslutna till domänen eller skogen. I den här artikeln beskrivs vilka funktionsnivåer som är kompatibla med vilka versioner av Windows Server.

När du distribuerar AD DS anger du domän- och skogsfunktionsnivåer till det högsta värde som din miljö kan stödja för att använda så många AD DS-funktioner som möjligt. När du distribuerar en ny skog måste du ange både skogens och domänens funktionsnivåer. Du kan ange domänens funktionsnivå till ett värde som är högre än skogens funktionsnivå, men du kan inte ange domänens funktionsnivå till ett värde som är lägre än skogens funktionsnivå.

Funktionsnivåer för Windows Server 2025

Du kan använda följande operativsystem som domänkontrollanter (DCs) med Windows Server 2025-skogen och domänfunktionsnivån.

• Windows Server 2025

Funktioner för Windows Server 2025-skog och funktioner på domänfunktionsnivå

Windows Server 2025-domänens funktionsnivå innehåller alla funktioner som är tillgängliga i tidigare domänfunktionsnivåer, men har även följande nya funktioner:

• Valfri funktion för databas 32 000 sidor. För mer information om att använda databassidor på 32k, se Databassidor på 32k för Active Directory.

Mer information om de här nya funktionerna finns i Nyheter i Windows Server 2025.

Not

Windows Server 2019 och Windows Server 2022 använder Windows Server 2016 som de senaste funktionsnivåerna.

Funktionsnivåer för Windows Server 2016

Du kan använda följande operativsystem som domänkontrollanter (DC) med Windows Server 2016-skog och domänfunktionsnivå.

• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016

Not

Domäner måste använda DFS-R som motor för att replikera SYSVOL. Mer information om hur du migrerar till DFSR finns i effektiviserad migrering av FRS till DFSR SYSVOL-bloggen. Windows Server 2016 är den senaste Versionen av Windows Server som stöder Tjänsten för filreplikering (FRS). För mer information, se Windows Server version 1709 stöder inte längre FRS, för information om hur du kan kringgå det här problemet.

Funktioner för skog och domänfunktionsnivå i Windows Server 2016

Alla active directory-standardfunktioner i tidigare skogsfunktionsnivåer plus följande funktioner är tillgängliga:

• Privileged Access Management (PAM) med hjälp av Microsoft Identity Manager (MIM)

Alla active directory-standardfunktioner i tidigare domänfunktionsnivåer plus följande funktioner är tillgängliga:

• Domänkontrollanter kan ha stöd för automatisk rullning av NTLM (New Technology LAN Manager) och andra lösenordsbaserade hemligheter på ett användarkonto som har konfigurerats för att kräva PKI-autentisering (Public Key Infrastructure). Den här konfigurationen kallas även "Smartkort krävs för interaktiv inloggning".

• Domänkontrollanter kan tillåta nätverks-NTLM när en användare är begränsad till specifika domänanslutna enheter.

• Kerberos-klienter som har autentiserats med PKInit Freshness-tillägget får den nya säkerhetsidentifieraren för offentlig nyckelidentitet (SID).

  Mer information finns i Vad är nytt i Kerberos-autentisering och Vad är nytt i Credential Protection

Funktionsnivåer för Windows Server 2012 R2

Du kan använda följande operativsystem som domänkontrollanter (DCs) med Windows Server 2012 R2-skog och domänfunktionsnivå.

• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

Funktioner på windows Server 2012 R2-skog och domänfunktionsnivå

Alla active directory-standardfunktioner, alla funktioner från windows Server 2012-domänens funktionsnivå, plus följande funktioner:

• Skyddsåtgärder på DC-sidan för skyddade användare. När skyddade användare autentiserar till en Windows Server 2012 R2-domän kan de inte längre:

  • Autentisera med NTLM-autentisering

  • Använda DES- eller RC4-chiffersviter i Kerberos-förautentisering

  • Delegeras med antingen obegränsad eller begränsad delegering

  • Förnya användarbiljetter (TGT) efter den första livslängden på 4 timmar

• Autentiseringsprinciper

  • Nya skogsbaserade autentiseringsprinciper kan tillämpas på konton. Principerna kan styra vilka värdar ett konto kan logga in från och tillämpa åtkomstkontrollvillkor för autentisering för tjänster som körs som ett konto.

• Autentiseringspolicy-silos

  • Nytt skogsbaserat Active Directory-objekt som ska användas för att klassificera konton för autentiseringsprinciper eller för autentiseringsisolering. Det nya objektet kan skapa en relation mellan användare, hanterade tjänster och datorkonton.

Funktions- och domännivåer i en tidigare version av Windows Server

Om du vill identifiera funktionsnivåer för en tidigare version av Windows Server läser du Understanding Active Directory Domain Services (AD DS) Functional Levels.

Nästa steg

Om du vill höja funktionsnivån för din domän eller skog kan du använda följande resurser:

• Använd PowerShell-kommandot Set-ADForestMode för att höja skogens funktionsnivå.

• Använd PowerShell-kommandot Set-ADDomainMode för att höja domänfunktionsnivån.

• Mer information om hur du höjer domän- och skogsfunktionsnivåer finns i Så här höjer du Active Directory-domän- och skogsfunktionsnivåer.