Active Directory林与域功能级别
重要提示:Active Directory的关键设置决定了可用的安全功能,这些功能与林和/或域的功能级别相关。本文汇总了Windows域和林功能级别的相关功能。
林功能级别特性
Windows 2000
- 林信任
- 域重命名
- 链接值复制:允许更改组成员身份,存储和复制单个成员的值,而不是将整个成员身份作为单个单元复制。存储和复制单个成员的值在复制期间使用更少的网络带宽和处理器周期,并防止在不同域控制器同时添加或删除多个成员时丢失更新。
- 部署只读域控制器(RODC)的能力
- 站点间拓扑生成器(ISTG)使用改进的算法,可扩展支持比Windows 2000林功能级别更多的站点。改进的ISTG选举算法是一种在Windows 2000林功能级别选择ISTG的侵入性较小的机制。
- 在域目录分区中创建名为dynamicObject的动态辅助类实例的能力
- 将inetOrgPerson对象实例转换为用户对象实例,以及完成反向转换的能力
- 创建新组类型实例以支持基于角色的授权的能力。这些类型称为应用程序基本组和LDAP查询组。
- 架构中属性和类的停用和重新定义。可以重用的属性包括:ldapDisplayName、schemaIdGuid、OID和mapiID。
- 在Windows Server 2008模式下运行的基于域的DFS命名空间,包括基于访问的枚举和增加的可扩展性支持。
Windows 2003
- 无额外功能
Windows 2008
- 无额外功能
Windows 2008 R2
- Active Directory回收站:在AD DS运行时完全恢复已删除对象的能力。
Windows 2012
- 无额外功能
Windows 2012 R2
- 无额外功能
Windows 2016
- 使用Microsoft Identity Manager(MIM)的特权访问管理(PAM)
Windows 2019
- 无额外功能
Windows 2022
- 无额外功能
Windows 2025
- 无额外功能
域功能级别特性
Windows 2000
- 分发组和安全组的通用组
- 组嵌套
- 组转换:允许在安全组和分发组之间转换
- 安全标识符(SID)历史记录
Windows 2003
- 域控制器重命名
- lastLogonTimestamp属性随用户或计算机的最后登录时间更新。此属性在域内复制。
- 将userPassword属性设置为inetOrgPerson和用户对象上的有效密码的能力
- 重定向用户和计算机容器的能力
- 授权管理器将其授权策略存储在AD DS中的能力
- 约束委派:使应用程序能够通过基于Kerberos的身份验证利用用户凭据的安全委派。
- 可以将委派限制为特定的目标服务。
- 选择性身份验证:允许您指定来自受信任林的用户和组,这些用户和组被允许向信任林中的资源服务器进行身份验证。
Windows 2008
- 对Windows Server 2003系统卷(SYSVOL)的分布式文件系统(DFS)复制支持
- 在Windows Server 2008模式下运行的基于域的DFS命名空间
- Kerberos协议的高级加密标准(AES 128和AES 256)支持
- 最后交互式登录信息显示以下信息:
- 在域加入的Windows Server 2008服务器或Windows Vista工作站上失败登录尝试的总次数
- 在成功登录到Windows Server 2008服务器或Windows Vista工作站后失败登录尝试的总次数
- 在Windows Server 2008或Windows Vista工作站上最后一次失败登录尝试的时间
- 在Windows Server 2008服务器或Windows Vista工作站上最后一次成功登录尝试的时间
- 精细密码策略
- 个人虚拟桌面
Windows 2008 R2
- 身份验证机制保证:将用于在每个用户的Kerberos令牌内验证域用户的登录方法类型(智能卡或用户名/密码)的信息打包。当在已部署联合身份管理基础结构(如Active Directory联合服务(AD FS))的网络环境中启用此功能时,只要用户尝试访问任何声明感知应用程序,就可以提取令牌中的信息,这些应用程序已开发为基于用户的登录方法确定授权。
- 当计算机帐户的名称或DNS主机名更改时,为在托管服务帐户上下运行的特定计算机上的服务自动管理SPN。
Windows 2012
- KDC对声明、复合身份验证和Kerberos装甲的支持。KDC管理模板策略有两个设置(始终提供声明和失败未装甲的身份验证请求),需要Windows Server 2012域功能级别。
Windows 2012 R2
- 受保护用户的DC端保护。向Windows Server 2012 R2域进行身份验证的受保护用户不再能够:
- 使用NTLM身份验证进行身份验证
- 在Kerberos预身份验证中使用DES或RC4密码套件
- 通过无约束或约束委派进行委派
- 在初始4小时生命周期之外续订用户票证(TGT)
- 身份验证策略:新的基于林的Active Directory策略,可应用于Windows Server 2012 R2域中的帐户,以控制帐户可以从哪些主机登录,并应用于作为帐户运行的服务进行身份验证的访问控制条件。
- 身份验证策略隔离区:新的基于林的Active Directory对象,可以创建用户、托管服务和计算机帐户之间的关系,用于对身份验证策略或身份验证隔离的帐户进行分类。
Windows 2016
- 域控制器支持在配置为需要公钥基础结构(PKI)身份验证的用户帐户上自动滚动新技术LAN管理器(NTLM)和其他基于密码的机密。此配置也称为交互式登录需要智能卡。
- 当用户被限制为特定的域加入设备时,域控制器支持允许网络NTLM。
- 使用PKInit Freshness Extension成功进行身份验证的Kerberos客户端获得新的公钥身份安全标识符(SID)。
Windows 2019
- 无额外功能
Windows 2022
- 无额外功能
Windows 2025
- 数据库32k页面可选功能。