Active Directory Domain Services-Funktionsebenen

Gilt für: Windows Server 2025 (Vorschau), Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012

Funktionsebenen bestimmen die verfügbaren AD DS-Domänen- oder Gesamtstrukturfunktionen (Active Directory Domain Services). Außerdem legen sie fest, welche Windows Server-Betriebssysteme auf Domänencontrollern in der Domäne oder der Gesamtstruktur ausgeführt werden können. Funktionsebenen haben jedoch keine Auswirkung darauf, welche Betriebssysteme Sie auf Arbeitsstationen und Mitgliedsservern ausführen können, die mit der Domäne oder der Gesamtstruktur verknüpft sind. In diesem Artikel wird beschrieben, welche Funktionsebenen mit welchen Versionen von Windows Server kompatibel sind.

Legen Sie beim Bereitstellen von AD DS die Domänen- und Gesamtstrukturfunktionsebenen auf den höchsten Wert fest, den Ihre Umgebung unterstützen kann, um so viele AD DS-Features wie möglich zu verwenden. Wenn Sie eine neue Gesamtstruktur bereitstellen, müssen Sie sowohl die Gesamtstruktur- als auch die Domänenfunktionsebenen festlegen. Sie können die Domänenfunktionsebene auf einen Wert festlegen, der höher als die Gesamtstrukturfunktionsebene ist. Sie können die Domänenfunktionsebene jedoch nicht auf einen niedrigeren Wert als die Gesamtstrukturfunktionsebene festlegen.

Funktionsebenen von Windows Server 2025 (Vorschau)

Wichtig

Windows Server 2025 befindet sich in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts, an der vor der Veröffentlichung noch wesentliche Änderungen vorgenommen werden können. Microsoft übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, für die hier bereitgestellten Informationen.

Sie können die folgenden Betriebssysteme als Domänencontroller (DCs) mit der Windows Server 2025-Gesamtstruktur- und Domänenfunktionsebene verwenden.

• Windows Server 2025

Features für die Windows Server 2025-Gesamtstruktur- und -Domänenfunktionsebene

Die Windows Server 2025-Domänenfunktionsebene enthält alle Features, die in früheren Domänenfunktionsebenen verfügbar sind, aber auch die folgenden neuen Features:

• Optionale Funktion für 32k-Datenbankseiten. Weitere Informationen zur Verwendung der 32k-Datenbankseite finden Sie unter 32k-Datenbankseiten für Active Directory.

Weitere Informationen zu diesen neuen Features finden Sie unter Neues in Windows Server 2025.

Hinweis

Windows Server 2019 und Windows Server 2022 verwenden Windows Server 2016 als die neuesten Funktionsstufen.

Windows Server 2016-Funktionsebenen

Sie können die folgenden Betriebssysteme als Domänencontroller (DCs) mit der Windows Server 2016-Gesamtstruktur- und Domänenfunktionsebene verwenden.

• Windows Server 2025 (Vorschauversion)
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016

Hinweis

Domänen müssen DFS-R als Modul zum Replizieren von SYSVOL verwenden. Weitere Informationen zum Migrieren zu DFSR finden Sie im Blog „Optimierte Migration von FRS zu DFSR SYSVOL“. Windows Server 2016 ist die letzte Windows Server-Version, die den Dateireplikationsdienst (File Replication Service, FRS) unterstützt. Informationen zur Umgehung dieses Problems finden Sie unter Windows Server Version 1709 unterstützt nicht mehr FRS.

Features für die Windows Server 2016-Gesamtstruktur- und -Domänenfunktionsebene

Alle standardmäßigen Active Directory-Features in früheren Gesamtstrukturfunktionsebenen sowie die folgenden Features sind verfügbar:

• PAM (Privileged Access Management) mithilfe von MIM (Microsoft Identity Manager)

Alle standardmäßigen Active Directory-Features in früheren Domänenfunktionsebenen sowie die folgenden Features sind verfügbar:

• DCs können das automatische Rolling von NTLM (New Technology LAN Manager) und anderen kennwortbasierten Geheimnissen für Benutzerkonten unterstützen, die so konfiguriert sind, dass eine PKI-Authentifizierung (Public Key Infrastructure) erforderlich ist. Diese Konfiguration wird auch als „Smart card required for interactive logon“ (Smartcard für interaktive Anmeldung erforderlich) bezeichnet.

• Domänencontroller können das Zulassen von Netzwerk-NTLM unterstützen, wenn ein Benutzer auf bestimmte, in die Domäne eingebundene Geräte beschränkt ist.

• Kerberos-Clients, die sich erfolgreich bei der PKInit Freshness-Erweiterung authentifizieren, erhalten die aktuelle SID der öffentlichen Schlüsselidentität (SID).

  Weitere Informationen finden Sie unter Neuerungen bei der Kerberos-Authentifizierung und Neuerungen beim Schutz von Anmeldeinformationen.

Windows Server 2012 R2-Funktionsebenen

Sie können die folgenden Betriebssysteme als Domänencontroller (DCs) mit der Windows Server 2012 R2-Gesamtstruktur- und Domänenfunktionsebene verwenden.

• Windows Server 2025 (Vorschauversion)
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

Features für die Windows Server 2012 R2-Gesamtstruktur- und -Domänenfunktionsebene

Alle Active Directory-Standardfeatures, alle Features der Windows Server 2012-Domänenfunktionsebene und die folgenden Features sind verfügbar:

• Domänencontrollerseitiger Schutz für geschützte Benutzer: Wenn sich geschützte Benutzer:innen bei einer Windows Server 2012 R2-Domäne authentifizieren, können sie Folgendes nicht mehr ausführen:

  • Authentifizieren mit der NTLM-Authentifizierung

  • Verwenden von DES- oder RC4-Suites mit Verschlüsselungsverfahren bei der Kerberos-Vorauthentifizierung

  • Delegierung mit eingeschränkter oder nicht eingeschränkter Delegierung

  • Erneuern von Benutzertickets (TGTs) jenseits der ursprünglichen vierstündigen Lebensdauer

• Authentifizierungsrichtlinien

  • Neue gesamtstrukturbasierte Authentifizierungsrichtlinien können auf Konten angewendet werden. Die Richtlinien können steuern, von welchen Hosts aus sich ein Konto anmelden kann, und die Zugriffssteuerungsbedingungen für die Authentifizierung auf Dienste anwenden, die als Konto ausgeführt werden.

• Authentifizierungsrichtliniensilos

  • Neues gesamtstrukturbasiertes Active Directory-Objekt zum Klassifizieren von Konten für Authentifizierungsrichtlinien oder für die Authentifizierungsisolation. Das neue Objekt kann eine Beziehung zwischen Benutzer-, verwalteten Dienst- und Computerkonten erstellen.

Funktionale und Domänenebenen in einer früheren Version von Windows Server

Wenn Sie funktionsbezogene Ebenen für eine frühere Version von Windows Server identifizieren möchten, lesen Sie Grundlegendes zu den Funktionsebenen von Active Directory Domain Services (AD DS).

Nächste Schritte

Um die funktionale Ebene Ihrer Domäne oder Gesamtstruktur zu erhöhen, können Sie die folgenden Ressourcen verwenden:

• Verwenden Sie den PowerShell-Befehl Set-ADForestMode, um die Funktionsebene der Gesamtstruktur heraufzustufen.

• Verwenden Sie den PowerShell-Befehl Set-ADDomainMode, um die Domänenfunktionsebene heraufzustufen.

• Weitere Informationen zum Heraufstufen der Domänen- und Gesamtstrukturfunktionsebenen finden Sie unter Erhöhen der Active Directory-Domänen- und Gesamtstrukturfunktionsebenen.