Active Directory 域服务功能级别

2025-10-03
适用于: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

功能级别决定了可用的 Active Directory 域服务 (AD DS) 域或林功能。功能级别还决定了你可以在域或林中的域控制器上运行哪些 Windows Server 操作系统。但是，功能级别不会影响你可以在已加入域或林的工作站和成员服务器上运行哪些操作系统。本文介绍哪些功能级别与哪些版本的 Windows Server 兼容。

部署 AD DS 时，请将域和林功能级别设置为环境可以支持的最高值，以便使用尽可能多的 AD DS 功能。部署新林时，需要同时设置林和域功能级别。可以将域功能级别设置为高于林功能级别的值，但不能将域功能级别设置为低于林功能级别的值。

Windows Server 2025 功能级别

可以将以下操作系统用作具有 Windows Server 2025 林和域功能级别的域控制器（DC）。

Windows Server 2025

Windows Server 2025 林和域功能级别功能

Windows Server 2025 域功能级别包括早期域功能级别提供的所有功能，但还具有以下新功能：

数据库 32k 页面可选功能。若要了解有关使用 32k 数据库页面大小的详细信息，请参阅 Active Directory 的数据库 32k 页面。

若要了解有关新功能的详细信息，请参阅 Windows Server 2025 中的新增功能。

Note

Windows Server 2019 和 Windows Server 2022 使用 Windows Server 2016 作为最新的功能级别。

Windows Server 2016 功能级别

可以将以下操作系统用作 Windows Server 2016 林和域功能级别的域控制器（DC）。

Windows Server 2025
Windows Server 2022
Windows Server 2019
Windows Server 2016

Note

域必须使用 DFSR 作为引擎来复制 SYSVOL。若要详细了解如何迁移到 DFSR，请参阅简化 FRS 到 DFSR SYSVOL 的迁移。 Windows Server 2016 是支持文件复制服务 (FRS) 的最后一个 Windows Server 版本。有关如何解决此问题的信息，请参阅 Windows Server 版本 1709 不再支持 FRS 。

Windows Server 2016 林和域功能级别功能

早期林功能级别中的所有默认 Active Directory 功能都可用，以及以下功能：

使用 Microsoft 标识管理器 (MIM) 的特权访问管理 (PAM)

早期域功能级别中的所有默认 Active Directory 功能都可用，以及以下功能：

DC 可以支持在配置为需要公钥基础结构 (PKI) 身份验证的用户帐户上自动滚动新技术 LAN 管理器 (NTLM) 和其他基于密码的机密。此配置也称为 交互式登录所需的智能卡。
当用户只能使用特定的加入域的设备时，DC 支持为其启用网络 NTLM。
成功使用 PKInit Freshness Extension 进行身份验证的 Kerberos 客户端会获取新的公钥标识安全标识符(SID)。

有关详细信息，请参阅 Kerberos 身份验证中的新增功能。

Windows Server 2012 R2 功能级别

可以将以下操作系统用作 Windows Server 2012 R2 林和域功能级别中的域控制器（DC）。

Windows Server 2022
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2

Windows Server 2012 R2 林和域功能级别功能

所有默认的 Active Directory 功能、所有来自 Windows Server 2012 域功能级别的功能，以及下列功能：

针对受保护用户的 DC 端保护。当受保护的用户通过 Windows Server 2012 R2 域的身份验证时，他们无法再执行以下操作：
- 使用 NTLM 身份验证进行身份验证。
- 在 Kerberos 预身份验证中使用 DES 或 RC4 密码套件。
- 被授予不受约束或受约束的委派权限
- 将用户票证（TGT）的有效期延长至超过最初的四小时期限。
身份验证策略
- 新的基于林的身份验证策略可以应用于帐户。这些策略可以控制帐户可以从哪些主机登录，并将身份验证的访问控制条件应用于以帐户身份运行的服务。
身份验证策略隔离
- 基于森林结构的新 Active Directory 对象，用于对帐户进行身份验证策略分类或身份验证隔离。新对象可以在用户、托管服务和计算机帐户之间创建关系。

早期版本的 Windows Server 中的功能和域级别

如果要标识以前版本的 Windows Server 的功能级别，请参阅了解 Active Directory 域服务（AD DS）功能级别。

使用 PowerShell 命令 Set-ADForestMode 提升林功能级别。
使用 PowerShell 命令 Set-ADDomainMode 提升域功能级别。
若要了解有关提高域和林功能级别的详细信息，请参阅如何提高 Active Directory 域和林功能级别。

反馈

此页面是否有帮助？