Tingkat Fungsi Hutan dan Domain

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Tingkat fungsi menentukan domain Active Directory Domain Services (AD DS) atau kemampuan forest yang tersedia. Mereka juga menentukan sistem operasi Windows Server mana yang dapat Anda jalankan pada pengendali domain di domain atau forest. Namun, tingkat fungsional tidak memengaruhi sistem operasi mana yang dapat Anda jalankan di stasiun kerja dan server anggota yang bergabung ke domain atau forest.

Saat Anda menyebarkan AD DS, atur tingkat fungsi domain dan forest ke nilai tertinggi yang dapat didukung lingkungan Anda. Dengan cara ini, Anda dapat menggunakan fitur AD DS sebanyak mungkin. Saat Anda menyebarkan forest baru, Anda diminta untuk mengatur tingkat fungsional forest, lalu mengatur tingkat fungsional domain. Anda dapat mengatur tingkat fungsi domain ke nilai yang lebih tinggi dari tingkat fungsi forest, tetapi Anda tidak dapat mengatur tingkat fungsi domain ke nilai yang lebih rendah dari tingkat fungsi forest.

Dengan akhir masa pakai Windows Server 2003, 2008, dan 2008 R2, pengendali domain (DC) ini perlu diperbarui ke Windows Server 2012, 2012 R2, 2016, 2019, atau 2022. Seperti halnya server apa pun, pengendali domain (DC) yang berjalan pada versi Windows Server yang tidak didukung harus dihapus dari domain dan diganti dengan versi Windows Server yang didukung. Untuk informasi selengkapnya, lihat Informasi rilis Windows Server.

Pada tingkat fungsional Windows Server 2008 dan domain yang lebih tinggi, Replikasi Layanan File Terdistribusi (DFS) digunakan untuk mereplikasi konten folder SYSVOL di antara pengendali domain. Jika Anda membuat domain baru di tingkat fungsional domain Windows Server 2008 atau yang lebih tinggi, Replikasi DFS secara otomatis digunakan untuk mereplikasi SYSVOL. Jika Anda membuat domain pada tingkat fungsional yang lebih rendah, Anda harus bermigrasi dari menggunakan FRS ke replikasi DFS untuk SYSVOL. Untuk langkah-langkah migrasi, Anda dapat mengikuti prosedur di TechNet atau Anda dapat merujuk ke blog Migrasi FRS ke DFSR SYSVOL yang Disederhanakan. Windows Server 2016 adalah rilis Windows Server terakhir yang menyertakan FRS.

Catatan

Belum ada tingkat fungsi forest atau domain baru yang ditambahkan sejak Windows Server 2016. Versi sistem operasi yang lebih baru dapat dan harus digunakan untuk pengendali domain, namun mereka menggunakan Windows Server 2016 sebagai tingkat fungsional terbaru.

Tingkat fungsi windows Server 2016

Sistem operasi pengendali domain yang didukung:

  • Windows Server 2022
  • Windows Server 2019
  • Server Windows 2016

Persyaratan minimum untuk menambahkan satu pengendali domain dari salah satu versi Windows Server ini adalah tingkat fungsional Windows Server 2008. Domain juga harus menggunakan DFS-R sebagai mesin untuk mereplikasi SYSVOL.

Fitur tingkat fungsi forest Windows Server 2016

Fitur tingkat fungsi domain Windows Server 2016

  • Semua fitur Active Directory default, semua fitur dari tingkat fungsi domain Windows Server 2012 R2, ditambah fitur berikut:

    • DC dapat mendukung pengguliran otomatis NTLM dan rahasia berbasis kata sandi lainnya pada akun pengguna yang dikonfigurasi untuk memerlukan autentikasi PKI. Konfigurasi ini juga dikenal sebagai "Kartu pintar yang diperlukan untuk masuk interaktif"

    • DC dapat mendukung izin jaringan NTLM saat pengguna dibatasi untuk perangkat yang bergabung dengan domain tertentu.

    • Klien Kerberos berhasil mengautentikasi dengan Ekstensi Kesegaran PKInit akan mendapatkan SID identitas kunci publik yang baru.

      Untuk informasi selengkapnya, lihat Apa yang Baru dalam Autentikasi Kerberos dan Apa yang baru dalam Perlindungan Kredensial

Tingkat fungsi windows Server 2012 R2

Sistem operasi pengendali domain yang didukung:

  • Windows Server 2022
  • Windows Server 2019
  • Server Windows 2016
  • Windows Server 2012 R2

Fitur tingkat fungsial forest Windows Server 2012 R2

  • Semua fitur yang tersedia di tingkat fungsional forest Windows Server 2012, tetapi tidak ada fitur tambahan.

Fitur tingkat fungsi domain Windows Server 2012 R2

  • Semua fitur Direktori Aktif default, semua fitur dari tingkat fungsi domain Windows Server 2012, ditambah fitur berikut:
    • Perlindungan sisi DC untuk Pengguna yang Dilindungi. Pengguna Terproteksi yang mengautentikasi ke domain Windows Server 2012 R2 tidak dapat lagi:
      • Mengautentikasi dengan autentikasi NTLM
      • Menggunakan suite sandi DES atau RC4 di pra-autentikasi Kerberos
      • Didelegasikan dengan delegasi yang tidak dibatasi atau dibatasi
      • Memperpanjang tiket pengguna (TGT) di luar masa pakai 4 jam awal
    • Kebijakan Autentikasi
      • Kebijakan Direktori Aktif berbasis forest baru yang dapat diterapkan ke akun di domain Windows Server 2012 R2 untuk mengontrol host mana yang dapat masuk dari akun dan menerapkan kondisi kontrol akses untuk autentikasi ke layanan yang berjalan sebagai akun.
    • Silo Kebijakan Autentikasi
      • Objek Direktori Aktif berbasis forest baru, yang dapat membuat hubungan antara pengguna, layanan terkelola, dan komputer, akun yang akan digunakan untuk mengklasifikasikan akun untuk kebijakan autentikasi atau untuk isolasi autentikasi.

Tingkat fungsi windows Server 2012

Sistem operasi pengendali domain yang didukung:

  • Windows Server 2022
  • Windows Server 2019
  • Server Windows 2016
  • Windows Server 2012 R2
  • Windows Server 2012

Fitur tingkat fungsial forest Windows Server 2012

  • Semua fitur yang tersedia di tingkat fungsional forest Windows Server 2008 R2, tetapi tidak ada fitur tambahan.

Fitur tingkat fungsi domain Windows Server 2012

  • Semua fitur Direktori Aktif default, semua fitur dari tingkat fungsi domain Windows Server 2008 R2, ditambah fitur berikut:
    • Dukungan KDC untuk klaim, autentikasi majemuk, dan kebijakan templat administratif KDC armoring Kerberos memiliki dua pengaturan (Selalu berikan klaim dan Permintaan autentikasi tidak diamor gagal) yang memerlukan tingkat fungsional domain Windows Server 2012. Untuk informasi selengkapnya, lihat Apa yang Baru dalam Autentikasi Kerberos

Tingkat fungsi windows Server 2008 R2

Sistem operasi pengendali domain yang didukung:

  • Windows Server 2022
  • Windows Server 2019
  • Server Windows 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Fitur tingkat fungsial forest Windows Server 2008 R2

  • Semua fitur yang tersedia di tingkat fungsi forest Windows Server 2003, ditambah fitur-fitur berikut:
    • Keranjang Sampah Direktori Aktif, yang menyediakan kemampuan untuk memulihkan objek yang dihapus secara keseluruhan saat AD DS berjalan.

Fitur tingkat fungsi domain Windows Server 2008 R2

  • Semua fitur Active Directory default, semua fitur dari tingkat fungsi domain Windows Server 2008, ditambah fitur berikut:
    • Jaminan mekanisme autentikasi, yang mengemas informasi tentang jenis metode masuk (kartu pintar atau nama pengguna/kata sandi) yang digunakan untuk mengautentikasi pengguna domain di dalam token Kerberos setiap pengguna. Ketika fitur ini diaktifkan di lingkungan jaringan yang telah menyebarkan infrastruktur manajemen identitas federasi, seperti Layanan Federasi Direktori Aktif (AD FS), informasi dalam token kemudian dapat diekstraksi setiap kali pengguna mencoba mengakses aplikasi sadar klaim apa pun yang telah dikembangkan untuk menentukan otorisasi berdasarkan metode masuk pengguna.
    • Manajemen SPN otomatis untuk layanan yang berjalan di komputer tertentu di bawah konteks Akun Layanan Terkelola saat nama atau nama host DNS akun komputer berubah. Untuk informasi selengkapnya tentang Akun Layanan Terkelola, lihat Panduan Langkah demi Langkah Akun Layanan.

Tingkat fungsi windows Server 2008

Sistem operasi pengendali domain yang didukung:

  • Windows Server 2022
  • Windows Server 2019
  • Server Windows 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008

Fitur tingkat fungsial forest Windows Server 2008

  • Semua fitur yang tersedia di tingkat fungsional forest Windows Server 2003, tetapi tidak ada fitur tambahan yang tersedia.

Fitur tingkat fungsi domain Windows Server 2008

  • Semua fitur AD DS default, semua fitur dari tingkat fungsi domain Windows Server 2003, dan fitur berikut tersedia:

    • Dukungan replikasi Sistem File Terdistribusi (DFS) untuk Volume Sistem Windows Server 2003 (SYSVOL)

      • Dukungan replikasi DFS menyediakan replikasi konten SYSVOL yang lebih kuat dan terperinci.

        Catatan

        Dimulai dengan Windows Server 2012 R2, File Replication Service (FRS) tidak digunakan lagi. Domain baru yang dibuat pada pengendali domain yang menjalankan setidaknya Windows Server 2012 R2 harus diatur ke tingkat fungsional domain Windows Server 2008 atau yang lebih tinggi.

    • Namespace layanan DFS berbasis domain yang berjalan dalam Mode Windows Server 2008, yang mencakup dukungan untuk enumerasi berbasis akses dan peningkatan skalabilitas. Namespace berbasis domain dalam mode Windows Server 2008 juga mengharuskan forest untuk menggunakan tingkat fungsi hutan Windows Server 2003. Untuk informasi selengkapnya, lihat Memilih Jenis Namespace.

    • Dukungan Advanced Encryption Standard (AES 128 dan AES 256) untuk protokol Kerberos. Agar TGT dikeluarkan menggunakan AES, tingkat fungsional domain harus Windows Server 2008 atau lebih tinggi dan kata sandi domain perlu diubah.

      • Untuk informasi selengkapnya, lihat Peningkatan Kerberos.

        Catatan

        Kesalahan autentikasi dapat terjadi pada pengendali domain setelah tingkat fungsional domain dinaikkan ke Windows Server 2008 atau lebih tinggi jika pengendali domain telah mereplikasi perubahan DFL tetapi belum merefresh kata sandi krbtgt. Dalam hal ini, mulai ulang layanan KDC pada pengendali domain akan memicu refresh dalam memori kata sandi krbtgt baru dan mengatasi kesalahan autentikasi terkait.

    • Informasi Masuk Interaktif Terakhir menampilkan informasi berikut:

      • Jumlah total upaya masuk yang gagal di server Windows Server 2008 yang bergabung dengan domain atau stasiun kerja Windows Vista
      • Jumlah total upaya masuk yang gagal setelah berhasil masuk ke server Windows Server 2008 atau stasiun kerja Windows Vista
      • Waktu upaya masuk terakhir yang gagal pada Windows Server 2008 atau stasiun kerja Windows Vista
      • Waktu upaya masuk terakhir yang berhasil di server Windows Server 2008 atau stasiun kerja Windows Vista

    • Kebijakan kata sandi terperinci memungkinkan Anda menentukan kebijakan penguncian kata sandi dan akun untuk pengguna dan grup keamanan global di domain. Untuk informasi selengkapnya, lihat Panduan Langkah demi Langkah untuk Kata Sandi Terperinci dan Konfigurasi Kebijakan Penguncian Akun.

    • Desktop Virtual Pribadi

      • Untuk menggunakan fungsionalitas tambahan yang disediakan oleh tab Virtual Desktop Pribadi dalam kotak dialog Properti Akun Pengguna di Pengguna Direktori Aktif dan Komputer, skema AD DS Anda harus diperluas untuk Windows Server 2008 R2 (versi objek skema = 47). Untuk informasi selengkapnya, lihat Menyebarkan Desktop Virtual Pribadi dengan Menggunakan RemoteApp dan Panduan Langkah demi Langkah Koneksi Desktop.

Tingkat fungsi windows Server 2003

Sistem operasi pengendali domain yang didukung:

  • Server Windows 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Server 2003

Fitur tingkat fungsial forest Windows Server 2003

  • Semua fitur AD DS default, dan fitur berikut, tersedia:
    • Kepercayaan hutan
    • Nama domain diganti
    • Replikasi nilai tertaut
      • Replikasi nilai tertaut memungkinkan Anda mengubah keanggotaan grup untuk menyimpan dan mereplikasi nilai untuk anggota individu alih-alih mereplikasi seluruh keanggotaan sebagai satu unit. Menyimpan dan mereplikasi nilai masing-masing anggota menggunakan lebih sedikit bandwidth jaringan dan lebih sedikit siklus prosesor selama replikasi, dan mencegah Anda kehilangan pembaruan saat Anda menambahkan atau menghapus beberapa anggota secara bersamaan di pengontrol domain yang berbeda.
    • Kemampuan untuk menyebarkan pengontrol domain baca-saja (RODC)
    • Algoritma dan skalabilitas Pemeriksa Konsistensi Pengetahuan (KCC) yang Ditingkatkan
      • Generator topologi antar situs (ISTG) menggunakan algoritma yang ditingkatkan yang menskalakan untuk mendukung forest dengan jumlah situs yang lebih besar daripada AD DS dapat mendukung di tingkat fungsional hutan Windows 2000. Algoritma pemilu ISTG yang ditingkatkan adalah mekanisme yang kurang mengganggu untuk memilih ISTG di tingkat fungsional forest Windows 2000.
    • Kemampuan untuk membuat instans kelas tambahan dinamis bernama dynamicObject dalam partisi direktori domain
    • Kemampuan untuk mengonversi instans objek inetOrgPerson menjadi instans objek Pengguna , dan untuk menyelesaikan konversi ke arah yang berlawanan
    • Kemampuan untuk membuat instans jenis grup baru untuk mendukung otorisasi berbasis peran.
      • Jenis ini disebut grup dasar aplikasi dan grup kueri LDAP.
    • Penonaktifan dan pendefinisian ulang atribut dan kelas dalam skema. Atribut berikut dapat digunakan kembali: ldapDisplayName, schemaIdGuid, OID, dan mapiID.
    • Namespace layanan DFS berbasis domain yang berjalan dalam Mode Windows Server 2008, yang mencakup dukungan untuk enumerasi berbasis akses dan peningkatan skalabilitas. Untuk informasi selengkapnya, lihat Memilih Jenis Namespace.

Fitur tingkat fungsi domain Windows Server 2003

  • Semua fitur AD DS default, semua fitur yang tersedia di tingkat fungsi domain asli Windows 2000, dan fitur berikut tersedia:
    • Alat manajemen domain, Netdom.exe, yang memungkinkan Anda mengganti nama pengendali domain
    • Pembaruan stempel waktu masuk
      • Atribut lastLogonTimestamp diperbarui dengan waktu masuk terakhir pengguna atau komputer. Atribut ini direplikasi dalam domain.
    • Kemampuan untuk mengatur atribut userPassword sebagai kata sandi yang efektif pada inetOrgPerson dan objek pengguna
    • Kemampuan untuk mengalihkan kontainer Pengguna dan Komputer
      • Secara default, dua kontainer terkenal disediakan untuk komputer perumahan dan akun pengguna, yaitu, cn=Computers,< domain root> dan cn=Users,domain< root>. Fitur ini memungkinkan definisi lokasi baru yang terkenal untuk akun-akun ini.
    • Kemampuan Bagi Manajer Otorisasi untuk menyimpan kebijakan otorisasinya di AD DS
    • Delegasi yang dibatasi
      • Delegasi yang dibatasi memungkinkan aplikasi memanfaatkan delegasi kredensial pengguna yang aman dengan autentikasi berbasis Kerberos.
      • Anda hanya dapat membatasi delegasi ke layanan tujuan tertentu.
    • Autentikasi selektif
      • Autentikasi selektif memungkinkan Anda menentukan pengguna dan grup dari forest tepercaya yang diizinkan untuk mengautentikasi ke server sumber daya di forest tepercaya.

Tingkat fungsi windows 2000

Sistem operasi pengendali domain yang didukung:

  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Server 2003
  • Windows 2000

Fitur tingkat fungsial forest asli Windows 2000

  • Semua fitur AD DS default tersedia.

Fitur tingkat fungsi domain asli Windows 2000

  • Semua fitur AD DS default dan fitur direktori berikut tersedia termasuk:
    • Grup universal untuk grup distribusi dan keamanan.
    • Grup bersarang
    • Konversi grup, yang memungkinkan konversi antara grup keamanan dan distribusi
    • Riwayat pengidentifikasi keamanan (SID)

Langkah berikutnya