功能等級決定了 Active Directory Domain Services (AD DS) 網域或樹系中能使用的功能。 功能等級也決定您能夠在網域或樹系中的網域控制站上執行哪些 Windows Server 作業系統。 不過,功能等級不會影響您可以在工作站上執行的操作系統,以及加入網域或樹系的成員伺服器。 本文說明哪些功能層級與哪些 Windows Server 版本相容。
當您部署 AD DS 時,請將網域和樹系功能等級設定為環境可支援的最高值,以便盡可能使用盡可能多的 AD DS 功能。 當您部署新的樹系時,您必須同時設定樹系和網域功能等級。 您可以將網域功能層級設定為高於樹系功能層級。 您無法將網域功能層級設定為低於樹系功能層級。
Windows Server 功能層級互通性
下列互通性矩陣摘要說明您可以針對每個目前支援的 AD DS 樹系和網域功能層級執行哪些 Windows Server 版本作為網域控制站。
| Windows Server 版本 (DC) | Windows Server 2025 功能層級 | Windows Server 2016 功能層級 | Windows Server 2012 R2 功能層級 |
|---|---|---|---|
| Windows 伺服器 2025 | ✅ 支援 | ✅ 支援 | ❌ 未支援 |
| Windows 伺服器 2022 | ❌ 未支援 | ✅ 支援 | ✅ 支援 |
| Windows 伺服器 2019 | ❌ 未支援 | ✅ 支援 | ✅ 支援 |
| Windows 伺服器 2016 | ❌ 未支援 | ✅ 支援 | ✅ 支援 |
| Windows Server 2012 R2 | ❌ 未支援 | ❌ 未支援 | ✅ 支援 |
✅ 支援 表示您可以在指定的樹系和網域功能層級使用該 Windows Server 版本執行網域控制站; ❌ 不支援意味著您無法。
Note
Windows Server 2019 和 Windows Server 2022 使用 Windows Server 2016 作為最新的功能層級。 如需舊版功能層級 (例如 Windows Server 2008 R2) ,請參閱 瞭解 Active Directory 網域服務 (AD DS) 功能層級。
Windows Server 2025 功能等級
您可以使用下列作業系統作為具有 Windows Server 2025 樹系和網域功能層級的網域控制站 (DC)。
- Windows 伺服器 2025
Windows Server 2025 樹系與網域的功能等級特色
Windows Server 2025 網域功能等級包含舊版網域功能等級中可用的所有功能,但也具有下列新功能:
- 資料庫 32k 頁選用功能。 若要深入瞭解如何使用 32k 資料庫頁面大小,請參閱 Active Directory 的資料庫 32k 頁面。
若要深入瞭解新功能,請參閱 Windows Server 2025 的新功能。
Note
Windows Server 2019 和 Windows Server 2022 使用 Windows Server 2016 做為最新的功能等級。
Windows Server 2016 功能等級
您可以使用下列作業系統作為具有 Windows Server 2016 樹系和網域功能層級的網域控制站 (DC)。
- Windows 伺服器 2025
- Windows 伺服器 2022
- Windows 伺服器 2019
- Windows 伺服器 2016
Note
網域必須使用 DFSR 作為引擎來複寫 SYSVOL。 若要深入瞭解移轉至 DFSR,請參閱 FRS 至 DFSR SYSVOL 的簡化移轉。 Windows Server 2016 是支援檔案復寫服務 (FRS) 的最後一個 Windows Server 版本。 如需如何解決此問題的資訊,請參閱 Windows Server 1709 版不再支援 FRS 。
Windows Server 2016 樹系和網域功能等級功能
舊版樹系功能層級中的所有預設 Active Directory 功能都可供使用,以及下列功能:
舊版網域功能層級中的所有預設 Active Directory 功能都可用,以及下列功能:
DC 可以在設定為需要公鑰基礎建設(PKI)驗證的使用者帳戶上,支援自動更新 NTLM 新技術 LAN 管理協定和其他基於密碼的密碼資訊。 此設定也稱為 互動式登入所需的智慧卡。
當使用者被限制使用特定網域加入的裝置時,域控制器可以支援允許網路 NTLM。
Kerberos 用戶端已成功向 PKInit Freshness Extension 進行驗證,以取得全新的公鑰識別安全性識別碼 (SID)。
如需詳細資訊,請參閱 Kerberos 驗證的新功能。
Windows Server 2012 R2 功能等級
您可以使用下列作業系統作為具有 Windows Server 2012 R2 樹系和網域功能層級的網域控制站 (DC)。
- Windows 伺服器 2022
- Windows 伺服器 2019
- Windows 伺服器 2016
- Windows Server 2012 R2
Windows Server 2012 R2 樹系和網域功能等級功能
所有預設的 Active Directory 功能、來自 Windows Server 2012 網域功能等級的所有功能,以及下列功能:
Protected Users 的直流端保護措施。 當受保護的使用者向 Windows Server 2012 R2 網域進行驗證時,他們就無法再:
使用 NTLM 驗證進行驗證。
在 Kerberos 預先驗證中使用 DES 或 RC4 密碼套件。
被委以不受限制或受限制的委派。
從最初的四小時有效期限後延續使用者票證(TGT)。
驗證原則
- 新的樹系型驗證原則可以套用至帳戶。 原則可以控制帳戶可以登入的主機,並將訪問控制條件套用至以帳戶身分執行的服務。
驗證策略孤島
- 以樹系為基礎的新 Active Directory 物件,可以用於對帳戶進行驗證原則管理或驗證隔離。 新的物件可以在使用者、受控服務和計算機帳戶之間建立關聯性。
舊版 Windows Server 中的功能和網域層級
如果您想要識別舊版 Windows Server 的功能層級,例如 Windows Server 2008 R2,請參閱 瞭解 Active Directory 網域服務 (AD DS) 功能層級。
相關內容
使用 PowerShell 命令 Set-ADForestMode 來提高樹系功能層級。
使用 PowerShell 命令 Set-ADDomainMode 來提高網域功能層級。
若要深入瞭解如何提高網域和樹系功能等級,請參閱 如何提高 Active Directory 網域和樹系功能等級。