Níveis funcionais de floresta e domínioForest and Domain Functional Levels

Aplica-se a: Windows ServerApplies To: Windows Server

Níveis funcionais de determinam os recursos de domínio ou floresta de serviços de domínio Active Directory (AD DS) disponíveis.Functional levels determine the available Active Directory Domain Services (AD DS) domain or forest capabilities. Eles também determinam quais sistemas operacionais do Windows Server podem ser executados em controladores de domínio no domínio ou floresta.They also determine which Windows Server operating systems you can run on domain controllers in the domain or forest. No entanto, os níveis funcionais não afetam quais sistemas operacionais que você pode executar em estações de trabalho e servidores de membro que ingressaram no domínio ou floresta.However, functional levels do not affect which operating systems you can run on workstations and member servers that are joined to the domain or forest.

Quando você implanta o AD DS, defina os níveis funcionais de domínio e floresta para o valor mais alto que pode dar suporte a seu ambiente.When you deploy AD DS, set the domain and forest functional levels to the highest value that your environment can support. Dessa forma, você pode usar tantos recursos do AD DS quanto possível.This way, you can use as many AD DS features as possible. Quando você implanta uma nova floresta, você precisará definir o nível funcional de floresta e, em seguida, defina o nível funcional do domínio.When you deploy a new forest, you are prompted to set the forest functional level and then set the domain functional level. Você pode definir o nível funcional de domínio para um valor que é maior do que o nível funcional da floresta, mas não é possível definir o nível funcional de domínio para um valor que é menor do que o nível funcional da floresta.You can set the domain functional level to a value that is higher than the forest functional level, but you cannot set the domain functional level to a value that is lower than the forest functional level.

Com o fim da vida útil do Windows 2003, controladores de domínio (DCs) do Windows 2003 precisam ser atualizados para o Windows Server 2008, 2008R2, 2012, 2012 R2, 2016 ou 2019.With the end of life of Windows 2003, Windows 2003 domain controllers (DCs) need to be updated to Windows Server 2008, 2008R2, 2012, 2012R2, 2016, or 2019. Como resultado, qualquer controlador de domínio que executa o Windows Server 2003 deve ser removido do domínio.As a result, any domain controller that runs Windows Server 2003 should be removed from the domain.

No Windows Server 2008 e superiores níveis funcionais de domínio, replicação do serviço de arquivos distribuído (DFS) é usada para replicar o conteúdo da pasta SYSVOL entre controladores de domínio.At the Windows Server 2008 and higher domain functional levels, Distributed File Service (DFS) Replication is used to replicate SYSVOL folder contents between domain controllers. Se você criar um novo domínio no nível funcional de domínio do Windows Server 2008 ou superior, a replicação DFS é automaticamente usada para replicar o SYSVOL.If you create a new domain at the Windows Server 2008 domain functional level or higher, DFS Replication is automatically used to replicate SYSVOL. Se você criou o domínio em um nível funcional mais baixo, você precisará migrar do uso de FRS para replicação do DFS do SYSVOL.If you created the domain at a lower functional level, you will need to migrate from using FRS to DFS replication for SYSVOL. Para obter as etapas de migração, você pode a seguir a procedimentos no TechNet ou você pode consultar a simplificada do conjunto de etapas no blog do gabinete do arquivo de equipe de armazenamento.For migration steps, you can either follow the procedures on TechNet or you can refer to the streamlined set of steps on the Storage Team File Cabinet blog.

Windows Server 2019Windows Server 2019

Não há nenhuma nova floresta ou níveis funcionais de domínio adicionados nesta versão.There are no new forest or domain functional levels added in this release.

O requisito mínimo para adicionar um controlador de domínio do Windows Server 2019 é um nível funcional do Windows Server 2008.The minimum requirement to add a Windows Server 2019 Domain Controller is a Windows Server 2008 functional level. O domínio também deve usar DFS-R como o mecanismo para replicar o SYSVOL.The domain also has to use DFS-R as the engine to replicate SYSVOL.

Windows Server 2016Windows Server 2016

Sistema de operacional do controlador de domínio com suporte:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016

Recursos de nível funcional de floresta Windows Server 2016Windows Server 2016 forest functional level features

Recursos de nível funcional de domínio Windows Server 2016Windows Server 2016 domain functional level features

  • Todos os recursos do Active Directory padrão, todos os recursos do nível funcional do Windows Server 2012 R2 domínio, além dos seguintes recursos:All default Active Directory features, all features from the Windows Server 2012R2 domain functional level, plus the following features:
    • Controladores de domínio podem dar suporte a distribuição automática do NTLM e outros segredos baseado em senha em uma conta de usuário configurado para exigir autenticação PKI.DCs can support automatic rolling of the NTLM and other password-based secrets on a user account configured to require PKI authentication. Essa configuração também é conhecido como "Cartão inteligente necessário para logon interativo"This configuration is also known as “Smart card required for interactive logon”

    • Controladores de domínio podem dar suporte a rede, permitindo que NTLM quando um usuário é restrito a específicos de dispositivos ingressados no domínio.DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices.

    • Os clientes do Kerberos autenticar com êxito com a extensão de atualização de PKInit obterá a identidade de chave pública nova SID.Kerberos clients successfully authenticating with the PKInit Freshness Extension will get the fresh public key identity SID.

      Para obter mais informações, consulte o que há de novo na autenticação Kerberos e Novidades na proteção de credenciaisFor more information see What's New in Kerberos Authentication and What's new in Credential Protection

Windows Server 2012R2Windows Server 2012R2

Sistema de operacional do controlador de domínio com suporte:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2

Windows Server 2012 R2 floresta recursos de nível funcionalWindows Server 2012R2 forest functional level features

  • Todos os recursos que estão disponíveis no Windows Server 2012 recursos de nível, mas nenhum adicional funcionais da floresta.All of the features that are available at the Windows Server 2012 forest functional level, but no additional features.

Windows Server 2012 R2 domínio recursos de nível funcionalWindows Server 2012R2 domain functional level features

  • Todos os recursos do Active Directory padrão, todos os recursos do nível funcional do domínio Windows Server 2012, além dos seguintes recursos:All default Active Directory features, all features from the Windows Server 2012 domain functional level, plus the following features:
    • Proteções do lado do controlador de domínio para usuários protegidos.DC-side protections for Protected Users. Protegido por autenticação dos usuários para um Windows Server 2012 R2 pode deixar de domínio:Protected Users authenticating to a Windows Server 2012 R2 domain can no longer:
      • Autenticar com a autenticação NTLMAuthenticate with NTLM authentication
      • Usar conjuntos de criptografia DES ou RC4 na pré-autenticação do KerberosUse DES or RC4 cipher suites in Kerberos pre-authentication
      • Ser delegadas com delegação restrita ou irrestritaBe delegated with unconstrained or constrained delegation
      • Renovar tíquetes de usuário (TGTs) além do tempo de vida inicial de 4 horasRenew user tickets (TGTs) beyond the initial 4 hour lifetime
    • Políticas de autenticaçãoAuthentication Policies
      • Nova floresta do Active Directory políticas que podem ser aplicadas a contas em domínios do Windows Server 2012 R2 para controlar quais hosts uma conta pode logon do e aplicar condições de controle de acesso para autenticação para serviços em execução como uma conta.New forest-based Active Directory policies which can be applied to accounts in Windows Server 2012 R2 domains to control which hosts an account can sign-on from and apply access control conditions for authentication to services running as an account.
    • Silos de política de autenticaçãoAuthentication Policy Silos
      • Nova floresta com base no objeto de Active Directory, que pode criar uma relação entre contas de usuário, serviço gerenciado e computador, a ser usado para classificar as contas para as políticas de autenticação ou para o isolamento de autenticação.New forest-based Active Directory object, which can create a relationship between user, managed service and computer, accounts to be used to classify accounts for authentication policies or for authentication isolation.

Windows Server 2012Windows Server 2012

Sistema de operacional do controlador de domínio com suporte:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012

Recursos de nível funcional de floresta Windows Server 2012Windows Server 2012 forest functional level features

  • Todos os recursos que estão disponíveis no Windows Server 2008 R2 recursos de nível, mas nenhum adicional funcionais da floresta.All of the features that are available at the Windows Server 2008 R2 forest functional level, but no additional features.

Recursos de nível funcional de domínio do Windows Server 2012Windows Server 2012 domain functional level features

  • Todos os recursos do Active Directory padrão, todos os recursos do nível funcional do Windows Server 2008 R2 domínio, além dos seguintes recursos:All default Active Directory features, all features from the Windows Server 2008R2 domain functional level, plus the following features:
    • Suporte do KDC para declarações, autenticação composta e proteção diretiva de modelo administrativo KDC tem duas configurações (sempre fornecer declarações e recusar solicitações de autenticação) que exigem o nível funcional de domínio do Windows Server 2012 do Kerberos.The KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. Para obter mais informações, consulte que há de novo na autenticação KerberosFor more information, see What's New in Kerberos Authentication

Windows Server 2008R2Windows Server 2008R2

Sistema de operacional do controlador de domínio com suporte:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2

Windows Server 2008 R2 floresta recursos de nível funcionalWindows Server 2008R2 forest functional level features

  • Todos os recursos disponíveis no nível funcional de floresta do Windows Server 2003, além dos seguintes recursos.All of the features that are available at the Windows Server 2003 forest functional level, plus the following features:
    • Lixeira do Active Directory, que fornece a capacidade de restaurar totalmente os objetos excluídos durante a execução do AD DS.Active Directory Recycle Bin, which provides the ability to restore deleted objects in their entirety while AD DS is running.

Windows Server 2008 R2 domínio recursos de nível funcionalWindows Server 2008R2 domain functional level features

  • Todos os recursos do Active Directory padrão, todos os recursos do nível funcional de domínio do Windows Server 2008, além dos seguintes recursos:All default Active Directory features, all features from the Windows Server 2008 domain functional level, plus the following features:
    • Garantia do mecanismo de autenticação, que agrupa informações sobre o tipo do método de logon (cartão inteligente ou nome de usuário/senha) usado para autenticar os usuários de domínio dentro do token Kerberos de cada usuário.Authentication mechanism assurance, which packages information about the type of logon method (smart card or user name/password) that is used to authenticate domain users inside each user’s Kerberos token. Quando esse recurso está habilitado em um ambiente de rede que implantou uma infraestrutura de gerenciamento de identidade federada, como os serviços de Federação do Active Directory (AD FS), as informações no token podem ser extraídas sempre que um usuário tenta acessar qualquer aplicativo com reconhecimento de declarações que foi desenvolvido para determinar a autorização com base no método de logon do usuário.When this feature is enabled in a network environment that has deployed a federated identity management infrastructure, such as Active Directory Federation Services (AD FS), the information in the token can then be extracted whenever a user attempts to access any claims-aware application that has been developed to determine authorization based on a user’s logon method.
    • Gerenciamento automático de SPN para serviços em execução em um determinado computador sob o contexto de uma conta de serviço gerenciado quando o nome ou host DNS das alterações de conta de computador.Automatic SPN management for services running on a particular computer under the context of a Managed Service Account when the name or DNS host name of the machine account changes. Para obter mais informações sobre as contas de serviço gerenciado, consulte guia do passo a passo de contas de serviço.For more information about Managed Service Accounts, see Service Accounts Step-by-Step Guide.

Windows Server 2008Windows Server 2008

Sistema de operacional do controlador de domínio com suporte:Supported Domain Controller Operating System:

  • Windows Server 2019Windows Server 2019
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008

Recursos de nível funcional de floresta Windows Server 2008Windows Server 2008 forest functional level features

  • Todos os recursos que estão disponíveis no nível funcional de floresta Windows Server 2003, mas não há recursos adicionais estão disponíveis.All of the features that are available at the Windows Server 2003 forest functional level, but no additional features are available.

Recursos de nível funcional de domínio do Windows Server 2008Windows Server 2008 domain functional level features

  • Todos os padrão do AD DS recursos, todos os recursos do que o nível funcional do domínio de Windows Server 2003, e os recursos a seguir estão disponíveis:All of the default AD DS features, all of the features from the Windows Server 2003 domain functional level, and the following features are available:
    • Suporte de replicação Distributed File System (DFS) para o Windows Server 2003 Volume do sistema (SYSVOL)Distributed File System (DFS) replication support for the Windows Server 2003 System Volume (SYSVOL)

      • Suporte de replicação DFS fornece replicação mais robusta e detalhada do conteúdo de SYSVOL.DFS replication support provides more robust and detailed replication of SYSVOL contents.

        Observação

        Começando com o Windows Server 2012 R2, a replicação FRS (serviço) foi preterido.Beginning with Windows Server 2012 R2, File Replication Service (FRS) is deprecated. Um novo domínio é criado em um controlador de domínio que executa pelo menos o Windows Server 2012 R2 deve ser definido para o nível funcional de domínio do Windows Server 2008 ou superior.A new domain that is created on a domain controller that runs at least Windows Server 2012 R2 must be set to the Windows Server 2008 domain functional level or higher.

    • Baseado em domínio namespaces do DFS em execução no modo Windows Server 2008, que inclui suporte para a enumeração baseada em acesso e maior escalabilidade.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Namespaces baseados em domínio no modo do Windows Server 2008 também exigem a floresta para usar o nível funcional de floresta do Windows Server 2003.Domain-based namespaces in Windows Server 2008 mode also require the forest to use the Windows Server 2003 forest functional level. Para obter mais informações, consulte escolher um tipo de Namespace.For more information, see Choose a Namespace Type.

    • Suporte avançado de padrão de criptografia (AES 128 e AES 256) para o protocolo Kerberos.Advanced Encryption Standard (AES 128 and AES 256) support for the Kerberos protocol. Em ordem para TGTs a ser emitido usando AES, o nível funcional do domínio deve ser Windows Server 2008 ou superior e a senha de domínio precisa ser alterado.In order for TGTs to be issued using AES, the domain functional level must be Windows Server 2008 or higher and the domain password needs to be changed.

      • Para obter mais informações, consulte aperfeiçoamentos de Kerberos.For more information, see Kerberos Enhancements.

        Observação

        Erros de autenticação podem ocorrer em um controlador de domínio depois que o nível funcional do domínio é gerado para o Windows Server 2008 ou superior se o controlador de domínio já replicou a alteração DFL, mas ainda não foi atualizado a senha de krbtgt.Authentication errors may occur on a domain controller after the domain functional level is raised to Windows Server 2008 or higher if the domain controller has already replicated the DFL change but has not yet refreshed the krbtgt password. Nesse caso, uma reinicialização do serviço KDC no controlador de domínio irá disparar uma atualização na memória da nova senha krbtgt e resolva erros de autenticação relacionadas.In this case, a restart of the KDC service on the domain controller will trigger an in-memory refresh of the new krbtgt password and resolve related authentication errors.

    • Último Logon interativo informações exibe as seguintes informações:Last Interactive Logon Information displays the following information:

      • O número total de tentativas de logon com falha em um servidor do Windows Server 2008 ingressado no domínio ou uma estação de trabalho do Windows VistaThe total number of failed logon attempts at a domain-joined Windows Server 2008 server or a Windows Vista workstation
      • O número total de tentativas de logon com falha após um logon bem-sucedido em um servidor Windows Server 2008 ou uma estação de trabalho do Windows VistaThe total number of failed logon attempts after a successful logon to a Windows Server 2008 server or a Windows Vista workstation
      • A hora da última tentativa de logon com falha em um Windows Server 2008 ou uma estação de trabalho do Windows VistaThe time of the last failed logon attempt at a Windows Server 2008 or a Windows Vista workstation
      • O horário do último logon bem-sucedido tentativa em um servidor Windows Server 2008 ou uma estação de trabalho do Windows VistaThe time of the last successful logon attempt at a Windows Server 2008 server or a Windows Vista workstation
    • Políticas de senha refinada tornam possível para você especificar políticas de bloqueio de conta e senha para usuários e grupos de segurança global em um domínio.Fine-grained password policies make it possible for you to specify password and account lockout policies for users and global security groups in a domain. Para obter mais informações, consulte guia passo a passo para configuração de política de bloqueio de conta e de senha refinada.For more information, see Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration.

    • Áreas de trabalho virtuais pessoaisPersonal Virtual Desktops

Windows Server 2003Windows Server 2003

Sistema de operacional do controlador de domínio com suporte:Supported Domain Controller Operating System:

  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003

Recursos de nível funcional de floresta Windows Server 2003Windows Server 2003 forest functional level features

  • Todos os recursos padrão AD DS e os recursos a seguir, estão disponíveis:All of the default AD DS features, and the following features, are available:
    • Relação de confiança de florestaForest trust
    • Renomeação de domínioDomain rename
    • Replicação de valor vinculadoLinked-value replication
      • Replicação de valor vinculado torna possível para você alterar a associação de grupo para armazenar e replicar valores de membros individuais em vez de replicar a associação inteira como uma única unidade.Linked-value replication makes it possible for you to change group membership to store and replicate values for individual members instead of replicating the entire membership as a single unit. Armazenando e replicando os valores dos membros individuais usa menos largura de banda de rede e menos ciclos do processador durante a replicação e impede a perda de atualizações quando você adicionar ou remover vários membros simultaneamente em diferentes controladores de domínio.Storing and replicating the values of individual members uses less network bandwidth and fewer processor cycles during replication, and prevents you from losing updates when you add or remove multiple members concurrently at different domain controllers.
    • A capacidade de implantar um controlador de domínio somente leitura (RODC)The ability to deploy a read-only domain controller (RODC)
    • Algoritmos do Knowledge Consistency Checker (KCC) e a escalabilidade aprimoradaImproved Knowledge Consistency Checker (KCC) algorithms and scalability
      • O gerador de topologia entre sites (ISTG) usa algoritmos aprimorados que são dimensionados para dar suporte a florestas com um número maior de sites que pode dar suporte a AD DS no nível funcional de floresta do Windows 2000.The intersite topology generator (ISTG) uses improved algorithms that scale to support forests with a greater number of sites than AD DS can support at the Windows 2000 forest functional level. O algoritmo de eleição do ISTG aprimorado é um mecanismo menos intrusiva para escolha do ISTG no nível funcional de floresta do Windows 2000.The improved ISTG election algorithm is a less-intrusive mechanism for choosing the ISTG at the Windows 2000 forest functional level.
    • A capacidade de criar instâncias da classe auxiliar dinâmica chamada dynamicObject em uma partição de diretório de domínioThe ability to create instances of the dynamic auxiliary class named dynamicObject in a domain directory partition
    • A habilidade de converter um inetOrgPerson instância de objeto em um usuário instância de objeto e para concluir a conversão na direção opostaThe ability to convert an inetOrgPerson object instance into a User object instance, and to complete the conversion in the opposite direction
    • A capacidade de criar instâncias de novos tipos de grupo para dar suporte à autorização baseada em função.The ability to create instances of new group types to support role-based authorization.
      • Esses tipos são chamados de grupos de aplicativos básicos e grupos de consulta LDAP.These types are called application basic groups and LDAP query groups.
    • Desativação e redefinição de atributos e classes no esquema.Deactivation and redefinition of attributes and classes in the schema. Os seguintes atributos podem ser reutilizados: ldapDisplayName, schemaIdGuid, OID e mapiID.The following attributes can be reused: ldapDisplayName, schemaIdGuid, OID, and mapiID.
    • Baseado em domínio namespaces do DFS em execução no modo Windows Server 2008, que inclui suporte para a enumeração baseada em acesso e maior escalabilidade.Domain-based DFS namespaces running in Windows Server 2008 Mode, which includes support for access-based enumeration and increased scalability. Para obter mais informações, consulte escolher um tipo de Namespace.For more information, see Choose a Namespace Type.

Recursos de nível funcional de domínio Windows Server 2003Windows Server 2003 domain functional level features

  • Todos os recursos do AD DS do padrão, todos os recursos que estão disponíveis no nível funcional de domínio nativo do Windows 2000 e os recursos a seguir estão disponíveis:All the default AD DS features, all the features that are available at the Windows 2000 native domain functional level, and the following features are available:
    • A ferramenta de gerenciamento de domínio, Netdom.exe, que torna possível a renomeação de controladores de domínioThe domain management tool, Netdom.exe, which makes it possible for you to rename domain controllers
    • Atualizações do carimbo de data / hora de logonLogon time stamp updates
      • O atributo lastLogonTimestamp é atualizado com o último horário de logon do usuário ou computador.The lastLogonTimestamp attribute is updated with the last logon time of the user or computer. Este atributo é replicado no domínio.This attribute is replicated within the domain.
    • A capacidade de definir a userPassword atributo como a senha efetiva inetOrgPerson e objetos de usuárioThe ability to set the userPassword attribute as the effective password on inetOrgPerson and user objects
    • A capacidade de redirecionar os usuários e computadores contêineresThe ability to redirect Users and Computers containers
      • Por padrão, dois contêineres conhecidos são fornecidos para hospedar contas de usuário e computador, ou seja, cn = Computers, e cn = Users,.By default, two well-known containers are provided for housing computer and user accounts, namely, cn=Computers, and cn=Users,. Esse recurso permite a definição de um novo local conhecido para essas contas.This feature allows the definition of a new, well-known location for these accounts.
    • A capacidade de Gerenciador de autorização armazene diretivas de autorização no AD DSThe ability for Authorization Manager to store its authorization policies in AD DS
    • Delegação restritaConstrained delegation
      • A delegação restrita possibilita aos aplicativos tirarem vantagem da delegação segura de credenciais de usuário por meio de autenticação baseada em Kerberos.Constrained delegation makes it possible for applications to take advantage of the secure delegation of user credentials by means of Kerberos-based authentication.
      • Você pode restringir a delegação apenas a serviços de destino específico.You can restrict delegation to specific destination services only.
    • Autenticação seletivaSelective authentication
      • A autenticação seletiva tornam possível para que você possa especificar os usuários e grupos de uma floresta confiável que terão permissão para autenticar servidores de recursos em uma floresta confiante.Selective authentication makes it is possible for you to specify the users and groups from a trusted forest who are allowed to authenticate to resource servers in a trusting forest.

Windows 2000Windows 2000

Sistema de operacional do controlador de domínio com suporte:Supported Domain Controller Operating System:

  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008Windows Server 2008
  • Windows Server 2003Windows Server 2003
  • Windows 2000Windows 2000

Recursos de nível funcional de floresta nativo Windows 2000Windows 2000 native forest functional level features

  • Todos os recursos padrão do AD DS estão disponíveis.All of the default AD DS features are available.

Recursos de nível funcional de domínio nativo Windows 2000Windows 2000 native domain functional level features

  • Todos os recursos padrão AD DS e os seguintes recursos de diretório estiver disponível, incluindo:All of the default AD DS features and the following directory features are available including:
    • Grupos universais para grupos de distribuição e de segurança.Universal groups for both distribution and security groups.
    • Aninhamento de grupoGroup nesting
    • Conversão de grupo, que permite a conversão entre grupos de segurança e distribuiçãoGroup conversion, which allows conversion between security and distribution groups
    • Histórico de SID (identificador) de segurançaSecurity identifier (SID) history

Próximas etapasNext Steps