Condividi tramite


livelli funzionali di Dominio di Active Directory Services

I livelli di funzionalità determinano le funzionalità disponibili per il dominio o la foresta di Active Directory Domain Services (AD DS). Determinano anche quali sistemi operativi Windows Server puoi eseguire nei controller di dominio del dominio o della foresta. Tuttavia, i livelli funzionali non influiscono sui sistemi operativi che è possibile eseguire su workstation e server membri aggiunti al dominio o alla foresta. Questo articolo descrive i livelli di funzionamento compatibili con le versioni di Windows Server.

Quando si distribuisce Servizi di dominio Active Directory, impostare i livelli di funzionalità del dominio e della foresta sul valore massimo che l'ambiente può supportare per usare il maggior numero possibile di funzionalità di Active Directory Domain Services. Quando si distribuisce una nuova foresta, è necessario impostare sia la foresta che i livelli di funzionalità del dominio. È possibile impostare il livello di funzionalità del dominio su un valore superiore al livello di funzionalità della foresta, ma non è possibile impostare il livello funzionale del dominio su un valore inferiore al livello di funzionalità della foresta.

Livelli funzionali di Windows Server 2025

È possibile usare i sistemi operativi seguenti come controller di dominio con il livello di funzione della foresta e del dominio di Windows Server 2025.

  • Windows Server 2025

Funzionalità a livello di funzionalità della foresta e del dominio di Windows Server 2025

Il livello di funzionalità del dominio di Windows Server 2025 include tutte le funzionalità disponibili nei livelli di funzionalità del dominio precedenti, ma include anche le nuove funzionalità seguenti:

Per altre informazioni su queste nuove funzionalità, vedere Novità di Windows Server 2025.

Nota

Windows Server 2019 e Windows Server 2022 usano Windows Server 2016 come livelli funzionali più recenti.

Livelli di funzionalità di Windows Server 2016

È possibile usare i sistemi operativi seguenti come controller di dominio con il livello di funzione di dominio e foresta di Windows Server 2016.

  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016

Nota

I domini devono usare DFS-R come motore per replicare SYSVOL. Per altre informazioni sulla migrazione a DFSR, vedere il blog Streamlined Migration of FRS to DFSR SYSVOL (Migrazione semplificata di FRS a SYSVOL DFSR). Windows Server 2016 è l'ultima versione di Windows Server che supporta il servizio replica file . Per altre informazioni, vedere Windows Server versione 1709 non supporta più frS per informazioni su come risolvere questo problema.

Funzionalità a livello di funzionalità di foresta e dominio di Windows Server 2016

Sono disponibili tutte le funzionalità predefinite di Active Directory nei livelli di funzionalità della foresta precedenti e le funzionalità seguenti:

Sono disponibili tutte le funzionalità predefinite di Active Directory nei livelli di funzionalità del dominio precedenti e le funzionalità seguenti:

  • I controller di dominio possono supportare l'implementazione automatica di New Technology LAN Manager (NTLM) e di altri segreti basati su password in un account utente configurato per richiedere l'autenticazione PKI (Public Key Infrastructure). Questa configurazione è nota anche come "Smart card necessaria per l'accesso interattivo".

  • I controller di dominio possono supportare NTLM di rete quando un utente si limita a specifici dispositivi appartenenti al dominio.

  • I client Kerberos che eseguono correttamente l'autenticazione con l'estensione PKInit Freshness ottengono l'identificatore di sicurezza dell'identità della chiave pubblica aggiornato (SID).

    Per altre informazioni, vedere Novità dell'autenticazione Kerberos e Novità della protezione delle credenziali

Livelli di funzionalità di Windows Server 2012 R2

È possibile usare i sistemi operativi seguenti come controller di dominio con il livello di funzione della foresta e del dominio di Windows Server 2012 R2.

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Funzionalità a livello di funzionalità di foresta e dominio di Windows Server 2012 R2

Tutte le funzionalità predefinite di Active Directory, tutte le funzionalità del livello di funzionalità del dominio di Windows Server 2012, più le funzionalità seguenti:

  • Protezioni sul lato controller di dominio per utenti protetti. Quando gli utenti protetti eseguono l'autenticazione in un dominio di Windows Server 2012 R2, non sono più in grado di:

    • Usare l'autenticazione NTLM

    • Usare suite di crittografia DES o RC4 nella preautenticazione Kerberos

    • Usare la delega vincolata o non vincolata

    • Rinnovare i ticket utente (TGT) oltre la durata iniziale di 4 ore.

  • Authentication Policies

    • È possibile applicare nuovi criteri di autenticazione basati su foresta agli account. I criteri possono controllare quali host possono accedere a un account e applicare le condizioni di controllo di accesso per l'autenticazione ai servizi in esecuzione come account.
  • Authentication Policy Silos

    • Nuovo oggetto Active Directory basato su foresta da usare per classificare gli account per i criteri di autenticazione o per l'isolamento dell'autenticazione. Il nuovo oggetto può creare una relazione tra account utente, servizio gestito e computer.

Livelli funzionali e di dominio in una versione precedente di Windows Server

Per identificare i livelli funzionali per una versione precedente di Windows Server, vedere Understanding Dominio di Active Directory Services (AD DS) Functional Levels .If you're looking to identify functional levels for a previous version of Windows Server, see Understanding Dominio di Active Directory Services (AD DS) Functional Levels.

Passaggi successivi

Per aumentare il livello funzionale del dominio o della foresta, è possibile usare le risorse seguenti:

  • Usare il comando PowerShell Set-ADForestMode per aumentare il livello di funzionalità della foresta.

  • Usare il comando PowerShell Set-ADDomainMode per aumentare il livello di funzionalità del dominio.

  • Per altre informazioni sull'aumento dei livelli di funzionalità del dominio e della foresta, vedere Come aumentare i livelli di funzionalità del dominio e della foresta di Active Directory.