Поделиться через


функциональные уровни служб домен Active Directory

Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory (AD DS). Они также определяют, какие операционные системы Windows Server можно запускать на контроллерах домена в домене или лесу. Однако функциональные уровни не влияют на операционные системы, которые можно запускать на рабочих станциях и серверах-членах, присоединенных к домену или лесу. В этой статье описывается, какие уровни функционирования совместимы с версиями Windows Server.

При развертывании AD DS задайте уровни функциональных возможностей домена и леса самым высоким значением, которое может поддерживать ваша среда, чтобы использовать максимально возможное количество функций AD DS. При развертывании нового леса необходимо задать как уровни работы леса, так и домена. Можно задать для уровня работы домена значение, превышающее функциональный уровень леса, но вы не можете задать для домена значение, меньшее, чем уровень функциональности леса.

Функциональные уровни Windows Server 2025

Следующие операционные системы можно использовать в качестве контроллеров домена (DCs) с уровнем функции леса и домена Windows Server 2025.

  • Windows Server 2025

Функции функционального уровня леса и домена Windows Server 2025

Функциональный уровень домена Windows Server 2025 включает все функции, доступные в более ранних функциональных уровнях домена, но также имеют следующие новые возможности:

Дополнительные сведения об этих новых функциях см. в статье "Новые возможности Windows Server 2025".

Примечание.

Windows Server 2019 и Windows Server 2022 используют Windows Server 2016 в качестве последних функциональных уровней.

Функциональные уровни Windows Server 2016

Следующие операционные системы можно использовать в качестве контроллеров домена (DCs) с лесом Windows Server 2016 и уровнем функции домена.

  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016

Примечание.

Домены должны использовать DFS-R в качестве обработчика для репликации SYSVOL. Дополнительные сведения о миграции в DFSR см . в блоге DFSR с упрощенной миграцией FRS в DFSR SYSVOL. Windows Server 2016 — это последний выпуск Windows Server, поддерживающий службу репликации файлов (FRS). Дополнительные сведения см. в статье Windows Server версии 1709 больше не поддерживает FRS для получения сведений о том, как обойти эту проблему.

Функции функционального уровня леса и домена Windows Server 2016

Доступны все функции Active Directory по умолчанию в более ранних уровнях функциональности леса, а также следующие функции:

Доступны все функции Active Directory по умолчанию в более ранних уровнях функциональных возможностей домена, а также следующие функции:

  • DCs могут поддерживать автоматическое переключения новой технологии LAN Manager (NTLM) и других секретов на основе паролей в учетной записи пользователя, настроенной для проверки подлинности инфраструктуры открытых ключей (PKI). Эта конфигурация также называется "Смарт-карта, необходимая для интерактивного входа".

  • Контроллеры домена могут поддерживать проверку сети по протоколу NTLM, если пользователю разрешен доступ только с определенных устройств, присоединенных к домену.

  • Клиенты Kerberos успешно прошли проверку подлинности с помощью расширения PKInit Freshness, чтобы получить идентификатор безопасности безопасности идентификатора идентификатора удостоверения открытого ключа (SID).

    Дополнительные сведения см. в статье "Новые возможности проверки подлинности Kerberos" и новые возможности защиты учетных данных

Функциональные уровни Windows Server 2012 R2

Следующие операционные системы можно использовать в качестве контроллеров домена (DCs) с лесом Windows Server 2012 R2 и уровнем функции домена.

  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Функции леса и функционального уровня домена Windows Server 2012 R2

Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2012, а также:

  • Защита со стороны контроллера домена для защищенных пользователей. Когда защищенные пользователи проходят проверку подлинности в домене Windows Server 2012 R2, они больше не могут:

    • проходить проверку подлинности с помощью проверки подлинности NTLM;

    • Использование наборов шифров DES или RC4 в предварительной проверки подлинности Kerberos

    • делегироваться в рамках неограниченного или ограниченного делегирования;

    • выполнять продление пользовательских билетов (TGT) и использовать их более 4 часов.

  • Политики проверки подлинности

    • Новые политики проверки подлинности на основе леса можно применять к учетным записям. Политики могут управлять размещением учетной записи, из которой может выполняться вход, и применять условия управления доступом для проверки подлинности в службах, работающих в качестве учетной записи.
  • Приемники команд политик проверки подлинности

    • Новый объект Active Directory на основе леса, используемый для классификации учетных записей для политик проверки подлинности или изоляции проверки подлинности. Новый объект может создать связь между учетными записями пользователей, управляемых служб и компьютеров.

Функциональные и доменные уровни в предыдущей версии Windows Server

Если вы хотите определить функциональные уровни для предыдущей версии Windows Server, ознакомьтесь со сведениями о функциональных уровнях служб домен Active Directory (AD DS).

Следующие шаги

Чтобы повысить функциональный уровень домена или леса, можно использовать следующие ресурсы: