機能レベルは、ドメインコントローラ―が実行するWindowsServerのバージョンによって選択できる機能レベル分け定義のこと。
設定する機能レベルによって、ドメイン内やフォレスト内で実現できる機能が異なる。
古いバージョンのドメインコントローラがある場合、それに合わせて機能レベルを設定せざるを得なくなる。
アップデートすることでデメリットはないから、最新にしとくにこしたことはない。
といっても、必須機能じゃないからいいっちゃいいかも。
ドメインの機能レベル
| 機能レベル | 有効な機能 |
| Windows Server 2008 | 規定のAD機能に以下が追加 ・SYSVOLのDFSR ・Kerberos認証におけるAES128、AES256 ・詳細設定が可能なパスワードポリシー(PSO) |
| Windows Server 2008 R2 | ・Kerberos認証におけるメカニズム認証 |
| Windows Server 2012 | ・ダイナミックアクセス制御とKerberos防御機能 |
| Windows Server 2012 R2 | ・Protected Usersに対するドメインコントローラ―側の保護 ・特定アカウントタイプに対して適用する認証ポリシー ・特権アカウントをコンテナにまとめることができる認証ポリシー |
| Windows Server 2016 | ・ユーザーのNTLMシークレットのロールバック ・ユーザーが特定のドメイン参加デバイスに使用を制限されている場合、ネットワークNTLMの許可 ・PKInit Freshness Extensionのサポート |
フォレストの機能レベル
| 機能レベル | 有効な機能 |
| Windows Server 2008 | 規定のAD機能 |
| Windows Server 2008 R2 | ・ゴミ箱 |
| Windows Server 2012 | 追加機能なし |
| Windows Server 2012 R2 | 追加機能なし |
| Windows Server 2016 | ・Microsoft Identitiy Managerを使用した特権アクセス管理 |