分享方式:


Active Directory 網域服務 功能等級

功能等級決定了 Active Directory Domain Services (AD DS) 網域或樹系中能使用的功能。 功能等級也決定您能夠在網域或樹系中的網域控制站上執行哪些 Windows Server 作業系統。 不過,功能等級不會影響您可以在工作站上執行的操作系統,以及加入網域或樹系的成員伺服器。 本文說明哪些功能層級與哪些 Windows Server 版本相容。

當您部署 AD DS 時,請將網域和樹系功能等級設定為環境可支援的最高值,以便盡可能使用盡可能多的 AD DS 功能。 當您部署新的樹系時,您必須同時設定樹系和網域功能等級。 您可以將定義域功能等級設定為高於樹系功能等級的值,但無法將定義域功能等級設定為低於樹系功能等級的值。

Windows Server 2025 功能等級

您可以使用下列作業系統作為域控制器,搭配 Windows Server 2025 樹系和網域函式層級。

  • Windows Server 2025

Windows Server 2025 樹系和網域功能等級功能

Windows Server 2025 網域功能等級包含舊版網域功能等級中可用的所有功能,但也具有下列新功能:

  • 資料庫 32k 頁選用功能。 若要深入瞭解如何使用 32k 資料庫頁面大小,請參閱 Active Directory 的資料庫 32k 頁面。

若要深入了解這些功能,請參閱 Windows Server 2025 的新功能。

注意

Windows Server 2019 和 Windows Server 2022 使用 Windows Server 2016 做為最新的功能等級。

Windows Server 2016 功能等級

您可以使用下列作業系統作為域控制器(DC),搭配 Windows Server 2016 樹系和網域功能層級。

  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016

注意

網域必須使用 DFS-R 作為引擎來復寫 SYSVOL。 若要深入瞭解移轉至 DFSR,請參閱 簡化 FRS 移轉至 DFSR SYSVOL 部落格。 Windows Server 2016 是支援檔案復寫服務 (FRS) 的最後一個 Windows Server 版本。 若要深入瞭解,請參閱 Windows Server 版本 1709 不再支援 FRS ,以取得如何解決此問題的相關信息。

Windows Server 2016 樹系和網域功能等級功能

舊版樹系功能等級中的所有預設 Active Directory 功能,以及下列功能可供使用:

舊版網域功能等級中的所有預設 Active Directory 功能,以及下列功能可供使用:

  • DC 可以在設定為需要公鑰基礎結構 (PKI) 驗證的用戶帳戶上,支援自動輪替新技術 LAN 管理員 (NTLM) 和其他密碼型密碼秘密。 此設定也稱為「互動式登錄所需的智慧卡」。

  • 當限制使用者為已加入特定網域的裝置時,DC 可以支援允許網路 NTLM。

  • Kerberos 用戶端已成功向 PKInit Freshness Extension 進行驗證,以取得全新的公鑰識別安全性識別碼 (SID)。

    如需詳細資訊,請參閱 Kerberos 驗證的新功能以及認證保護的新功能

Windows Server 2012 R2 功能等級

您可以使用下列作業系統作為域控制器(DC),搭配 Windows Server 2012 R2 樹系和網域函式層級。

  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Windows Server 2012 R2 樹系和網域功能等級功能

所有預設的 Active Directory 功能、來自 Windows Server 2012 網域功能等級的所有功能,以及下列功能:

  • Protected Users 的 DC 端保護。 當受保護的使用者向 Windows Server 2012 R2 網域進行驗證時,他們就無法再:

    • 使用 NTLM 驗證進行驗證

    • 在 Kerberos 預先驗證中使用 DES 或 RC4 加密套件

    • 以非限制或限制委派方式受到委派

    • 在初始 4 小時存留期之後更新使用者票證 (TGT)

  • 驗證原則

    • 新的樹系型驗證原則可以套用至帳戶。 原則可以控制帳戶可以登入的主機,並將訪問控制條件套用至以帳戶身分執行的服務。
  • 驗證原則定址接收器

    • 要用來分類帳戶以進行驗證原則或驗證隔離的新樹系型 Active Directory 物件。 新的物件可以在使用者、受控服務和計算機帳戶之間建立關聯性。

舊版 Windows Server 中的功能和網域層級

如果您想要識別舊版 Windows Server 的功能等級,請參閱瞭解 Active Directory 網域服務 (AD DS) 功能等級

下一步

若要提高網域或樹系的功能等級,您可以使用下列資源: