Active Directory 域服务功能级别

项目
07/30/2024

适用于：Windows Server 2025（预览版）、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012

功能级别决定了可用的 Active Directory 域服务 (AD DS) 域或林功能。功能级别还决定了你可以在域或林中的域控制器上运行哪些 Windows Server 操作系统。但是，功能级别不会影响你可以在已加入域或林的工作站和成员服务器上运行哪些操作系统。本文介绍哪些功能级别与哪些版本的 Windows Server 兼容。

部署 AD DS 时，请将域和林功能级别设置为环境可以支持的最高值，以便使用尽可能多的 AD DS 功能。部署新林时，需要同时设置林和域功能级别。可以将域功能级别设置为高于林功能级别的值，但不能将域功能级别设置为低于林功能级别的值。

Windows Server 2025（预览版）功能级别

重要

Windows Server 2025 处于预览版阶段。此信息与预发行产品相关，相应产品在发行之前可能会进行重大修改。 Microsoft 不对此处提供的信息作任何明示或默示的担保。

可以将以下操作系统用作具有 Windows Server 2025 林和域功能级别的域控制器 (DC)。

Windows Server 2025

Windows Server 2025 林和域功能级别功能

Windows Server 2025 域功能级别包括早期域功能级别提供的所有功能，但还具有以下新功能：

数据库 32k 页面可选功能。若要了解有关使用 32k 数据库页面大小的详细信息，请参阅 Active Directory 的数据库 32k 页面。

若要了解有关这些新功能的详细信息，请参阅 Windows Server 2025 中的新增功能。

注意

Windows Server 2019 和 Windows Server 2022 使用 Windows Server 2016 作为最新的功能级别。

Windows Server 2016 功能级别

可以将以下操作系统用作具有 Windows Server 2016 林和域功能级别的域控制器 (DC)。

Windows Server 2025（预览版）
Windows Server 2022
Windows Server 2019
Windows Server 2016

注意

域必须使用 DFS-R 作为作为复制 SYSVOL 的引擎。要了解有关迁移到 DFSR 的详细信息，请参阅简化 FRS 到 DFSR SYSVOL 的迁移博客。 Windows Server 2016 是支持文件复制服务 (FRS) 的最后一个 Windows Server 版本。若要了解详细信息，请参阅 Windows Server 版本 1709 不再支持 FRS，了解如何解决此问题。

Windows Server 2016 林和域功能级别功能

早期林功能级别中的所有默认 Active Directory 功能以及以下功能都可用：

使用 Microsoft 标识管理器 (MIM) 的特权访问管理 (PAM)

早期域功能级别中的所有默认 Active Directory 功能以及以下功能都可用：

DC 可以支持在配置为需要公钥基础结构 (PKI) 身份验证的用户帐户上自动滚动新技术 LAN 管理器 (NTLM) 和其他基于密码的机密。此配置也称为“交互式登录需要智能卡”。
当用户只能使用特定的加入域的设备时，DC 支持为其启用网络 NTLM。
成功使用 PKInit Freshness Extension 进行身份验证的 Kerberos 客户端会获取新的公钥标识安全标识符(SID)。

有关更多信息，请参阅 Kerberos 身份验证的新增功能和凭据保护的新增功能

Windows Server 2012 R2 功能级别

可以将以下操作系统用作具有 Windows Server 2012 R2 林和域功能级别的域控制器 (DC)。

Windows Server 2025（预览版）
Windows Server 2022
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2

Windows Server 2012 R2 林和域功能级别功能

所有默认的 Active Directory 功能、所有来自 Windows Server 2012 域功能级别的功能，以及下列功能：

针对受保护用户的 DC 端保护。当受保护的用户通过 Windows Server 2012 R2 域的身份验证时，他们无法再执行以下操作：
- 使用 NTLM 身份验证进行验证
- 在 Kerberos 预身份验证中使用 DES 或 RC4 密码套件
- 使用不受约束的或受约束的委派进行委派
- 在超出最初的 4 小时生存期后续订用户票证 (TGT)
身份验证策略
- 新的基于林的身份验证策略可以应用于帐户。这些策略可以控制帐户可以从哪些主机登录，并将身份验证的访问控制条件应用于以帐户身份运行的服务。
身份验证策略接收器
- 新的基于林的 Active Directory 对象，用于根据身份验证策略或身份验证隔离对帐户进行分类。新对象可以在用户、托管服务和计算机帐户之间创建关系。

以前版本的 Windows Server 中的功能和域级别

如果要标识以前版本的 Windows Server 的功能级别，请参阅了解 Active Directory 域服务 (AD DS) 功能级别。

后续步骤

若要提高域或林的功能级别，可以使用以下资源：

使用 PowerShell 命令 Set-ADForestMode 提高林功能级别。
使用 PowerShell 命令 Set-ADDomainMode 提高域功能级别。
若要了解有关提高域和林功能级别的详细信息，请参阅如何提高 Active Directory 域和林功能级别。

通过