Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory (AD DS). Они также определяют, какие операционные системы Windows Server можно запускать на контроллерах домена в домене или лесу. Однако функциональные уровни не влияют на операционные системы, которые можно запускать на рабочих станциях и серверах-членах, присоединенных к домену или лесу. В этой статье описывается, какие уровни функционирования совместимы с версиями Windows Server.
При развертывании AD DS задайте уровни функциональных возможностей домена и леса самым высоким значением, которое может поддерживать ваша среда, чтобы использовать максимально возможное количество функций AD DS. При развертывании нового леса необходимо задать как уровни работы леса, так и домена. Можно задать уровень функциональности домена выше, чем уровень функциональности леса. Вы не можете задать уровень функциональности домена ниже, чем функциональный уровень леса.
Интероперабельность уровней функциональности Windows Server
В следующей матрице взаимодействия содержится информация о том, какие версии Windows Server можно использовать в качестве контроллеров домена для каждого текущего поддерживаемого уровня функциональности леса и домена AD DS.
| Версия Windows Server (DC) | Функциональный уровень Windows Server 2025 | Функциональный уровень Windows Server 2016 | Функциональный уровень Windows Server 2012 R2 |
|---|---|---|---|
| Windows Server 2025 г. | ✅ Поддержанный | ✅ Поддержанный | ❌ Не поддерживается. |
| Windows Server 2022 | ❌ Не поддерживается. | ✅ Поддержанный | ✅ Поддержанный |
| Windows Server 2019 | ❌ Не поддерживается. | ✅ Поддержанный | ✅ Поддержанный |
| Windows Server 2016 | ❌ Не поддерживается. | ✅ Поддержанный | ✅ Поддержанный |
| Windows Server 2012 R2 | ❌ Не поддерживается. | ❌ Не поддерживается. | ✅ Поддержанный |
✅ Поддерживается означает, что вы можете запустить контроллер домена с этим выпуском Windows Server на указанном лесу и функциональном уровне домена; ❌ Не поддерживается означает, что вы не можете.
Note
Windows Server 2019 и Windows Server 2022 используют Windows Server 2016 в качестве последнего функционального уровня. Сведения о более ранних функциональных уровнях (например, Windows Server 2008 R2) см. в разделе "Общие сведения о функциональных уровнях доменных служб Active Directory (AD DS).
Функциональные уровни Windows Server 2025
Следующие операционные системы можно использовать в качестве контроллеров домена (DCs) с лесом Windows Server 2025 и функциональным уровнем домена.
- Windows Server 2025 г.
Функции функционального уровня леса и домена Windows Server 2025
Функциональный уровень домена Windows Server 2025 включает все функции, доступные в более ранних функциональных уровнях домена, но также имеют следующие новые возможности:
- Необязательный компонент страниц базы данных 32k. Дополнительные сведения об использовании размера страницы базы данных 32k см . на страницах базы данных 32k для Active Directory.
Дополнительные сведения о новых функциях см. в статье "Новые возможности Windows Server 2025".
Note
Windows Server 2019 и Windows Server 2022 используют Windows Server 2016 в качестве последних функциональных уровней.
Функциональные уровни Windows Server 2016
Следующие операционные системы можно использовать в качестве контроллеров домена (DCs) с лесом Windows Server 2016 и функциональным уровнем домена.
- Windows Server 2025 г.
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Note
Домены должны использовать DFSR в качестве обработчика для репликации SYSVOL. Дополнительные сведения о миграции в DFSR см. в статье "Упрощенная миграция FRS в DFSR SYSVOL". Windows Server 2016 — это последний выпуск Windows Server, поддерживающий службу репликации файлов (FRS). См. Windows Server версии 1709 больше не поддерживает FRS, чтобы узнать, как обойти эту проблему.
Функции функционального уровня леса и домена Windows Server 2016
Доступны все функции Active Directory по умолчанию в более ранних функциональных уровнях леса, а также следующие функции:
Доступны все функции Active Directory по умолчанию в более ранних уровнях функциональных возможностей домена, а также следующие функции:
DCs могут поддерживать автоматическое переключения новой технологии LAN Manager (NTLM) и других секретов на основе паролей в учетной записи пользователя, настроенной для проверки подлинности инфраструктуры открытых ключей (PKI). Эта конфигурация также называется смарт-картой, необходимой для интерактивного входа.
Контроллеры домена могут поддерживать проверку сети по протоколу NTLM, если пользователю разрешен доступ только с определенных устройств, присоединенных к домену.
Клиенты Kerberos успешно прошли проверку подлинности с помощью расширения PKInit Freshness, чтобы получить идентификатор безопасности безопасности идентификатора идентификатора удостоверения открытого ключа (SID).
Дополнительные сведения см. в статье "Новые возможности проверки подлинности Kerberos".
Функциональные уровни Windows Server 2012 R2
Следующие операционные системы можно использовать в качестве контроллеров домена (DCs) с лесом Windows Server 2012 R2 и функциональным уровнем домена.
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
Функции леса и функционального уровня домена Windows Server 2012 R2
Все функции Active Directory по умолчанию, все функции из режима работы домена Windows Server 2012, а также:
Защита со стороны контроллера домена для защищенных пользователей. Когда защищенные пользователи проходят проверку подлинности в домене Windows Server 2012 R2, они больше не могут:
Авторизация с помощью NTLM.
Используйте наборы шифров DES или RC4 в предварительной проверки подлинности Kerberos.
Осуществлять делегирование без ограничений или с ограничениями.
Продление сроков действия пользовательских билетов (TGTs) за пределы исходных четырех часов.
Политики проверки подлинности
- Новые политики проверки подлинности на основе леса можно применять к учетным записям. Политики могут управлять размещением учетной записи, из которой может выполняться вход, и применять условия управления доступом для проверки подлинности в службах, работающих в качестве учетной записи.
Силосы политики проверки подлинности
- Новый объект Active Directory, основанный на лесу, предназначенный для классификации учетных записей в рамках политик проверки подлинности или изоляции проверки подлинности. Новый объект может создать связь между учетными записями пользователей, управляемых служб и компьютеров.
Функциональные и доменные уровни в предыдущих версиях Windows Server
Если вы хотите определить функциональные уровни для предыдущей версии Windows Server, например Windows Server 2008 R2, ознакомьтесь со сведениями о функциональных уровнях доменных служб Active Directory (AD DS).
Связанный контент
Используйте команду PowerShell Set-ADForestMode для повышения функционального уровня леса.
Используйте команду PowerShell Set-ADDomainMode для повышения функционального уровня домена.
Дополнительные сведения о повышении функциональных уровней домена и леса см. в статье о том, как повысить функциональные уровни домена и леса Active Directory.