Niveaux fonctionnels des services de domaine Active Directory

S’applique à : Windows Server 2025 (préversion), Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012

Les niveaux fonctionnels déterminent les capacités de domaine ou de forêt Active Directory Domain Services (AD DS). Ils déterminent également quels systèmes d’exploitation Windows Server vous pouvez exécuter sur des contrôleurs de domaine dans le domaine ou la forêt. Cependant, les niveaux fonctionnels n’affectent pas les systèmes d’exploitation que vous pouvez exécuter sur les stations de travail et les serveurs membres joints au domaine ou à la forêt. Cet article décrit quels niveaux fonctionnels sont compatibles avec quelles versions de Windows Server.

Lorsque vous déployez AD DS, définissez les niveaux fonctionnels de domaine et de forêt à la valeur la plus élevée que votre environnement peut supporter afin d’utiliser autant de fonctionnalités AD DS que possible. Lorsque vous déployez une nouvelle forêt, vous devez définir à la fois les niveaux fonctionnels de forêt et de domaine. Vous pouvez définir le niveau fonctionnel de domaine à une valeur supérieure à celle du niveau fonctionnel de forêt, mais vous ne pouvez pas définir le niveau fonctionnel de domaine à une valeur inférieure à celle du niveau fonctionnel de forêt.

Niveaux fonctionnels de Windows Server 2025 (préversion)

Important

Windows Server 2025 est en version PRÉLIMINAIRE Certaines informations portent sur un produit en préversion susceptible d’être substantiellement modifié avant sa publication. Microsoft ne donne aucune garantie, expresse ou implicite, concernant les informations fournies ici.

Vous pouvez utiliser les systèmes d’exploitation suivants en tant que contrôleurs de domaine (DC) avec le niveau fonctionnel de forêt et de domaine de Windows Server 2025.

• Windows Server 2025

Fonctionnalités du niveau fonctionnel de forêt et de domaine de Windows Server 2025

Le niveau fonctionnel de domaine de Windows Server 2025 inclut toutes les fonctionnalités disponibles dans les niveaux fonctionnels de domaine antérieurs, mais inclut également les nouvelles fonctionnalités suivantes :

• Fonctionnalité optionnelle de pages de base de données 32k. Pour en savoir plus sur l’utilisation de la taille de page de base de données 32k, veuillez consulter la section Pages de base de données 32k pour Active Directory.

Pour en savoir plus sur ces nouvelles fonctionnalités, veuillez consulter la section Quoi de neuf dans Windows Server 2025.

Remarque

Windows Server 2019 et Windows Server 2022 utilisent Windows Server 2016 comme les niveaux fonctionnels les plus récents.

Niveaux fonctionnels de Windows Server 2016

Vous pouvez utiliser les systèmes d’exploitation suivants en tant que contrôleurs de domaine (DC) avec le niveau fonctionnel de forêt et de domaine de Windows Server 2016.

• Windows Server 2025 (préversion)
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016

Remarque

Les domaines doivent utiliser DFS-R comme moteur pour répliquer SYSVOL. Pour en savoir plus sur la migration vers DFSR, veuillez consulter la section Blog sur la migration simplifiée de FRS vers DFSR SYSVOL. Windows Server 2016 est la dernière version de Windows Server à prendre en charge le service de réplication de fichiers (FRS). Pour en savoir plus, veuillez consulter la section La version 1709 de Windows Server ne prend plus en charge FRS pour obtenir des informations sur la manière de contourner ce problème.

Fonctionnalités du niveau fonctionnel de forêt et de domaine de Windows Server 2016

Toutes les fonctionnalités Active Directory par défaut des niveaux fonctionnels de forêt antérieurs plus les fonctionnalités suivantes sont disponibles :

• La gestion des accès privilégiés (Privileged Access Management, PAM) utilisant Microsoft Identity Manager (MIM)

Toutes les fonctionnalités Active Directory par défaut des niveaux fonctionnels de domaine antérieurs plus les fonctionnalités suivantes sont disponibles :

• Les DC peuvent prendre en charge le renouvellement automatique du New Technology LAN Manager (NTLM) et d’autres secrets basés sur des mots de passe sur un compte utilisateur configuré pour exiger l’authentification par infrastructure à clé publique (PKI). Cette configuration est également connue sous le nom de « Carte à puce requise pour la connexion interactive ».

• Les contrôleurs de domaine peuvent prendre en charge l’autorisation de réseau NTLM lorsqu’un utilisateur est limité à certains appareils associés à un domaine.

• Les clients Kerberos s’authentifiant avec succès avec l’extension de fraîcheur PKInit obtiennent l’identifiant de sécurité (SID) de l’identité de clé publique fraîche.

  Pour plus d’informations, voir Nouveautés de l’authentification Kerberos et Nouveautés de la protection des informations d’identification

Niveaux fonctionnels de Windows Server 2012 R2

Vous pouvez utiliser les systèmes d’exploitation suivants en tant que contrôleurs de domaine (DC) avec le niveau fonctionnel de forêt et de domaine de Windows Server 2012 R2.

• Windows Server 2025 (préversion)
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

Fonctionnalités du niveau fonctionnel de forêt et de domaine de Windows Server 2012 R2

Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du niveau fonctionnel du domaine Windows Server 2012, plus les fonctionnalités suivantes :

• Protections côté contrôleur de domaine pour les utilisateurs protégés. Lorsque les utilisateurs protégés s’authentifient auprès d’un domaine Windows Server 2012 R2, ils ne peuvent plus :

  • s’authentifier avec l’authentification NTLM ;

  • utiliser les suites de chiffrement DES ou RC4 dans la pré-authentification Kerberos ;

  • être délégués en utilisant la délégation non contrainte ou contrainte ;

  • renouveler les tickets TGT utilisateur au-delà de la durée de vie initiale de 4 heures.

• Stratégies d'authentification

  • De nouvelles stratégies d’authentification basées sur la forêt peuvent être appliquées aux comptes. Les stratégies peuvent contrôler depuis quels hôtes un compte peut se connecter et appliquer des conditions de contrôle d’accès pour l’authentification aux services exécutés en tant que compte.

• Silos de stratégies d'authentification

  • Un nouvel objet Active Directory basé sur la forêt à utiliser pour classer les comptes pour les stratégies d’authentification ou pour l’isolation de l’authentification. Le nouvel objet peut créer une relation entre les utilisateurs, les services gérés et les comptes d’ordinateur.

Niveaux fonctionnels et de domaine dans une version précédente de Windows Server

Si vous cherchez à identifier les niveaux fonctionnels pour une version précédente de Windows Server, veuillez consulter la section Comprendre les niveaux fonctionnels des services de domaine Active Directory (AD DS).

Étapes suivantes

Pour élever le niveau fonctionnel de votre domaine ou de votre forêt, vous pouvez utiliser les ressources suivantes :

• Utilisez la commande PowerShell Set-ADForestMode pour élever le niveau fonctionnel de la forêt.

• Utilisez la commande PowerShell Set-ADDomainMode pour élever le niveau fonctionnel du domaine.

• Pour en savoir plus sur l’élévation des niveaux fonctionnels de domaine et de forêt, veuillez consulter la section Comment élever les niveaux fonctionnels de domaine et de forêt Active Directory.