樹系和網域功能等級- Windows Server

功能等級決定了Active Directory Domain Services (AD DS) 網域或樹系 ... 當您部署新樹系時，會提示您設定樹系功能等級，然後再設定網域功能等級。

跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge 其他資訊 目錄 結束焦點模式 閱讀英文 儲存 目錄 閱讀英文 儲存 編輯 Twitter LinkedIn Facebook 電子郵件 目錄 樹系和網域功能等級 發行項 10/09/2021 3位參與者 本文內容 適用于：Windowsserver2022、WindowsServer2019、Windowsserver 功能等級決定了ActiveDirectoryDomainServices(ADDS)網域或樹系中能使用的功能。

功能等級也決定您能夠在網域或樹系中的網域控制站上執行哪些WindowsServer作業系統。

不過，功能等級不會影響您能夠在已加入網域或樹系的工作站或成員伺服器上執行哪些作業系統。

當您建立新網域或新樹系部署ADDS時，請將網域和樹系的功能等級設為您環境能支援的最高值。

這樣您就可以儘可能使用到最多ADDS功能。

當您部署新樹系時，會提示您設定樹系功能等級，然後再設定網域功能等級。

您可以將網域功能等級設定為高於樹系功能等級的值，但無法將網域功能等級設定為低於樹系功能等級的值。

在WindowsServer2003、2008和2008R2的生命週期結束後，這些網域控制站(DC)必須更新為WindowsServer2012、2012R2、2016或2019。

因此，執行WindowsServer2008R2和較舊版的任何網域控制站都應該從網域中移除。

在WindowsServer2008及更高版本的網域功能等級，分散式檔案服務(DFS)複寫是用來複寫網域控制站之間的SYSVOL資料夾內容。

如果您在WindowsServer2008網域功能等級或更高版本建立新的網域，DFS複寫會自動複寫SYSVOL。

如果您已在較低的功能等級建立網域，則需要從使用FRS移轉至SYSVOL的DFS複寫。

至於移轉的步驟，您可以遵循TechNet上的程序，也可以參閱StorageTeamFileCabinet上的簡化步驟。

WindowsServer2016RS1是最後一個包含FRS的WindowsServer版本。

WindowsServer2019 此版本中並未新增樹系或網域功能等級。

新增WindowsServer2019網域控制站的最低需求是WindowsServer2008功能等級。

網域也必須使用「DFS-R」作為引擎來複寫SYSVOL。

WindowsServer2016 支援的網域控制站作業系統： WindowsServer2019 WindowsServer2016 WindowsServer2016樹系功能等級的功能 可以在Windows Server 2012R2樹系功能等級使用的所有功能，以及下列功能： 使用MicrosoftIdentityManager(MIM)的特殊權限存取管理(PAM) WindowsServer2016網域功能等級的功能 所有預設的ActiveDirectory功能、來自WindowsServer2012R2網域功能等級的所有功能，以及下列功能： 在設定為需要PKI驗證的使用者帳戶上，DC可以支援自動回復NTLM和其他密碼型秘密。

此設定也稱為「互動式登入需要智慧卡」 當限制使用者為已加入特定網域的裝置時，DC可以支援允許網路NTLM。

Kerberos用戶端成功使用PKInitFreshnessExtension進行驗證時，將會取得全新的公開金鑰身分識別SID。

如需詳細資訊，請參閱Kerberos驗證的新功能以及認證保護的新功能。

WindowsServer2012R2 支援的網域控制站作業系統： WindowsServer2019 WindowsServer2016 WindowsServer2012R2 WindowsServer2012R2樹系功能等級的功能 可以在WindowsServer2012樹系功能等級使用的所有功能，沒有其他功能。

WindowsServer2012R2網域功能等級的功能 所有預設的ActiveDirectory功能、來自WindowsServer2012網域功能等級的所有功能，以及下列功能： ProtectedUsers的DC端保護。

向WindowsServer2012R2網域驗證的ProtectedUsers無法再執行： 使用NTLM驗證進行驗證 在Kerberos預先驗證中使用DES或RC4加密套件 以非限制或限制委派方式受到委派 在初始4小時存留期之後更新使用者票證(TGT) 驗證原則 新的以樹系為基礎的ActiveDirectory原則，可套用至WindowsServer2012R2網域中的帳戶，以控制帳戶可以從哪些主機登入，並將驗證的存取控制條件套用至以帳戶身分執行的服務。

驗證原則定址接收器 新的以樹系為基礎的ActiveDirectory物件，可以建立使用者、受控服務與電腦之間的關係，可以建立用來分類帳戶以進行驗證原則或驗證隔離的帳戶。

WindowsServer2012 支援的網域控制站作業系統： WindowsServer2019 WindowsServer2016 WindowsServer2012R2 WindowsServer2012 WindowsServer2012樹系功能等級的功能 可以在WindowsServer2008R2樹系功能等級使用的所有功能，沒有其他功能。

WindowsServer2012網域功能等級的功能 所有預設的ActiveDirectory功能、來自WindowsServer2008R2網域功能等級的所有功能，以及下列功能： 「宣告、複合驗證與Kerberos防護的KDC支援」KDC系統管理範本原則有兩個設定([永遠提供宣告]與[不通過受保護的驗證要求])，而這兩個設定都需要WindowsServer2012網域功能等級。

如需詳細資訊，請參閱Kerberos驗證的新功能。

WindowsServer2008R2 支援的網域控制站作業系統： WindowsServer2019 WindowsServer2016 WindowsServer2012R2 WindowsServer2012 WindowsServer2008R2 WindowsServer2008R2樹系功能等級的功能 可以在WindowsServer2003樹系功能等級上使用的所有功能，以及下列功能： ActiveDirectory資源回收筒，在AD DS執行時可完整還原其中已刪除的物件。

WindowsServer2008R2網域功能等級的功能 所有預設的ActiveDirectory功能、來自WindowsServer2008網域功能等級的所有功能，以及下列功能： 驗證機制保證，將登入方法(智慧卡或使用者名稱/密碼)的類型資訊封裝，用來驗證每一個在Kerberos權杖中的網域使用者。

若在已經部署同盟識別身分管理基礎結構(例如ActiveDirectoryFederationServices，ADFS)的網路環境中啟用此功能，每當使用者嘗試存取已開發的任何宣告感知(Claims-Aware)應用程式時，權杖中的資訊便可被擷取以根據使用者的登入方法來判定授權。

自動SPN管理，當電腦帳戶的名稱或DNS主機名稱變更時，用於在受控服務帳戶的情境下特定電腦上執行的服務。

如需受控服務帳戶的詳細資訊，請參閱服務帳戶的逐步指南。

WindowsServer2008 支援的網域控制站作業系統： WindowsServer2019 WindowsServer2016 WindowsServer2012R2 WindowsServer2012 WindowsServer2008R2 WindowsServer2008 WindowsServer2008樹系功能等級的功能 可以在WindowsServer2003樹系功能等級使用的所有功能，沒有其他功能。

WindowsServer2008網域功能等級的功能 所有預設的ADDS功能、來自WindowsServer2003網域功能等級的所有功能，以及下列功能： WindowsServer2003系統磁碟區(SYSVOL)的分散式檔案系統(DFS)複寫支援 DFS複寫支援，可提供更健全與細緻的SYSVOL內容複寫。

注意 從WindowsServer2012R2開始，檔案複寫服務(FRS)已被取代。

在至少執行WindowsServer2012R2的網域控制站中建立的新網域，必須設為WindowsServer2008網域功能等級或更高版本。

網域型DFS命名空間，在WindowsServer2008模式中執行，此模式支援存取型列舉和更高的延展性。

WindowsServer2008模式中的網域型命名空間也需要樹系使用WindowsServer2003樹系功能等級。

如需詳細資訊，請參閱選擇命名空間類型。

支援Kerberos通訊協定的進階加密標準(AES128與AES256)。

為了要使用AES來釋放TGT，網域功能等級必須是WindowsServer2008或更高版本，而且需要變更網域密碼。

如需詳細資訊，請參閱Kerberos增強功能。

注意 如果網域控制站已複寫DFL變更，但尚未重新整理krbtgt密碼，網域控制站上的驗證可能會在網域功能等級提升至WindowsServer2008或更高版本之後發生錯誤。

在此情況下，重新啟動網域控制站上的KDC服務會觸發新krbtgt密碼的記憶體中更新，並解決相關的驗證錯誤。

上次互動登入資訊會顯示以下資訊： 在已加入網域的WindowsServer2008伺服器或WindowsVista工作站上的登入嘗試失敗總數 成功登入WindowsServer2008伺服器或WindowsVista工作站之後登入嘗試失敗的總數 在WindowsServer2008或WindowsVista工作站上，最近一次登入嘗試失敗的時間 在WindowsServer2008伺服器或WindowsVista工作站上，最近一次登入嘗試成功的時間 更細緻的密碼原則，可讓您指定網域中使用者與通用安全性群組的密碼及帳戶鎖定原則。

如需詳細資訊，請參閱更細緻的密碼與帳戶鎖定原則設定逐步指南。

個人虛擬桌面 若要使用ActiveDirectory[使用者和電腦]的[使用者帳戶內容]對話方塊中[個人虛擬桌面]索引標籤提供的附加功能，您的ADDS架構必須為了適用於WindowsServer2008R2而擴充(架構物件版本=47)。

如需詳細資訊，請參閱使用RemoteApp和桌面連線逐步指南來部署個人虛擬桌面。

WindowsServer2003 支援的網域控制站作業系統： WindowsServer2016 WindowsServer2012R2 WindowsServer2012 WindowsServer2008R2 WindowsServer2008 WindowsServer2003 WindowsServer2003樹系功能等級的功能 所有預設的ADDS功能以及下列功能： 樹系信任 網域重新命名 連結值複寫 連結數值複寫可讓您對群組成員資格進行變更，可儲存及複寫個別成員的值，而不是以整個成員資格為一個單位來進行複寫。

儲存和複寫個別成員的值，會在複寫期間使用較少的網路頻寬和較少的處理器週期，並防止您在不同網域控制站同時新增或移除多個成員時遺失更新。

部署唯讀網域控制站(RODC)的能力 改進的知識一致性檢查程式(KCC)演算法與延展性 站台間拓撲產生器(ISTG)使用改進的演算法擴大對樹系的支援，它可支援的站台數量遠超過Windows2000樹系功能等級中AD DS所能夠支援的數量。

改良的ISTG選擇演算法是在Windows 2000樹系功能等級中選擇ISTG時較無干擾的機制。

在網域目錄磁碟分割中建立名為dynamicObject的動態輔助類別執行個體的能力 將inetOrgPerson物件執行個體轉換為User物件執行個體的能力，以及反向轉換的能力 建立新群組類型的執行個體以支援角色型授權的能力。

這些類型稱為應用程式基本群組和LDAP查詢群組。

停用和重新定義架構中的屬性及類別。

下列屬性可以重複使用：ldapDisplayName、schemaIdGuid、OID、mapiID。

網域型DFS命名空間，在WindowsServer2008模式中執行，此模式支援存取型列舉和更高的延展性。

如需詳細資訊，請參閱選擇命名空間類型。

WindowsServer2003網域功能等級的功能 所有預設的ADDS功能、WindowsServer2000原生網域功能等級的所有功能，以及下列功能： 網域管理工具Netdom.exe，可讓您為網域控制站重新命名 登入時間戳記更新 利用使用者或電腦最後登入時間來更新lastLogonTimestamp屬性。

而且會將此屬性複寫至整個網域。

將userPassword屬性設定為inetOrgPerson與使用者物件的有效密碼的能力 重新導向使用者和電腦容器的能力 根據預設值，系統會提供兩個已知容器，裝載電腦和使用者帳戶，也就是cn=Computers,和cn=Users,。

您可以使用此功能為這些帳戶定義新的已知位置。

授權管理員可將授權原則儲存在ADDS中的能力 限制委派 限制委派，讓應用程式透過Kerberos型驗證，善加利用使用者認證的安全委派優點。

您可以限制只能委派至特定的目的地服務。

選擇性驗證 選擇性驗證讓您可以指定受信任樹系中的使用者和群組，允許他們對信任樹系中的資源伺服器進行驗證。

Windows2000 支援的網域控制站作業系統： WindowsServer2008R2 WindowsServer2008 WindowsServer2003 Windows2000 Windows2000原生樹系功能等級的功能 所有預設的ADDS功能。

Windows2000原生網域功能等級的功能 所有預設的ADDS功能以及下列目錄功能： 可供發佈群組和安全性使用的萬用群組。

群組巢狀化 群組轉換，可以進行安全性群組及發佈群組之間的轉換。

安全性識別碼(SID)歷程記錄 後續步驟 提高網域功能等級 提高樹系功能等級 本文內容