Active Directory林和域功能级别完全指南

本文详细解析了Active Directory林和域功能级别的安全特性,涵盖从Windows 2000到2025各版本的功能差异,包括林信任、链接值复制、只读域控制器、Active Directory回收站、特权访问管理等核心技术特性,帮助管理员理解不同功能级别对安全能力的影响。

Active Directory林和域功能级别

重要提示:Active Directory设置中的林和域功能级别决定了可用的安全能力。本文汇总了Windows域和林功能级别的相关特性。

林功能级别特性

Windows 2000

  • 林信任
  • 域重命名

Windows 2003

  • 链接值复制:可以更改组成员身份,存储和复制单个成员的值,而不是将整个成员身份作为单个单元复制。存储和复制单个成员的值在复制期间使用更少的网络带宽和处理器周期,并在不同域控制器上同时添加或删除多个成员时防止更新丢失。
  • 部署只读域控制器(RODC)的能力
  • 站点间拓扑生成器(ISTG)使用改进的算法,可支持比Windows 2000林功能级别更多站点的林
  • 在域目录分区中创建名为dynamicObject的动态辅助类实例的能力
  • 将inetOrgPerson对象实例转换为User对象实例的能力,以及完成反向转换的能力
  • 创建新组类型实例以支持基于角色的授权的能力(称为应用程序基本组和LDAP查询组)
  • 架构中属性和类的停用和重新定义(可重用的属性:ldapDisplayName、schemaIdGuid、OID和mapiID)
  • 在Windows Server 2008模式下运行的基于域的DFS命名空间(包括基于访问的枚举和增加的可扩展性支持)

Windows 2008

  • 无额外功能

Windows 2008 R2

  • Active Directory回收站:在AD DS运行时提供完全恢复已删除对象的能力

Windows 2012

  • 无额外功能

Windows 2012 R2

  • 无额外功能

Windows 2016

  • 使用Microsoft Identity Manager(MIM)的特权访问管理(PAM)

Windows 2019

  • 无额外功能

Windows 2022

  • 无额外功能

Windows 2025

  • 无额外功能

域功能级别特性

Windows 2000

  • 分发组和安全组的通用组
  • 组嵌套
  • 组转换(允许在安全组和分发组之间转换)
  • 安全标识符(SID)历史记录

Windows 2003

  • 域控制器重命名
  • lastLogonTimestamp属性随用户或计算机的最后登录时间更新(该属性在域内复制)
  • 将userPassword属性设置为inetOrgPerson和用户对象有效密码的能力
  • 重定向用户和计算机容器的能力
  • 授权管理器将其授权策略存储在AD DS中的能力
  • 约束委派:使应用程序能够通过基于Kerberos的身份验证利用用户凭据的安全委派
  • 可以将委派限制为特定的目标服务
  • 选择性身份验证:可以指定来自受信任林的用户和组,允许向信任林中的资源服务器进行身份验证

Windows 2008

  • 对Windows Server 2003系统卷(SYSVOL)的分布式文件系统(DFS)复制支持
  • 在Windows Server 2008模式下运行的基于域的DFS命名空间
  • Kerberos协议的高级加密标准(AES 128和AES 256)支持
  • 最后交互式登录信息显示:
    • 域加入的Windows Server 2008服务器或Windows Vista工作站上的失败登录尝试总数
    • 成功登录Windows Server 2008服务器或Windows Vista工作站后的失败登录尝试总数
    • 在Windows Server 2008或Windows Vista工作站上最后一次失败登录尝试的时间
    • 在Windows Server 2008服务器或Windows Vista工作站上最后一次成功登录尝试的时间
  • 精细密码策略
  • 个人虚拟桌面

Windows 2008 R2

  • 身份验证机制保证:将有关用于对域用户进行身份验证的登录方法类型(智能卡或用户名/密码)的信息打包到每个用户的Kerberos令牌中
  • 当计算机帐户的名称或DNS主机名更改时,为在托管服务帐户上下运行的特定计算机上的服务自动管理SPN

Windows 2012

  • KDC支持声明、复合身份验证和Kerberos装甲KDC管理模板策略有两个设置(始终提供声明和失败非装甲身份验证请求),需要Windows Server 2012域功能级别

Windows 2012 R2

  • 受保护用户的DC端保护:向Windows Server 2012 R2域进行身份验证的受保护用户不再能够:
    • 使用NTLM身份验证进行身份验证
    • 在Kerberos预身份验证中使用DES或RC4密码套件
    • 通过无约束或约束委派进行委派
    • 在初始4小时生命周期之外续订用户票据(TGT)
  • 身份验证策略:新的基于林的Active Directory策略,可应用于Windows Server 2012 R2域中的帐户,以控制帐户可以从哪些主机登录,并为作为帐户运行的服务应用身份验证的访问控制条件
  • 身份验证策略隔离:新的基于林的Active Directory对象,可以创建用户、托管服务和计算机帐户之间的关系,用于对身份验证策略或身份验证隔离的帐户进行分类

Windows 2016

  • 域控制器支持在配置为需要公钥基础设施(PKI)身份验证的用户帐户上自动滚动新技术LAN管理器(NTLM)和其他基于密码的密钥
  • 当用户被限制为特定的域加入设备时,域控制器支持允许网络NTLM
  • 使用PKInit Freshness Extension成功进行身份验证的Kerberos客户端获得新的公钥身份安全标识符(SID)

Windows 2019

  • 无额外功能

Windows 2022

  • 无额外功能

Windows 2025

  • 数据库32k页面可选功能

参考资料

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次