Active Directoy Server 기능 수준 정리 끝판왕

[나만의 정리]

AD 서버 기능수준이 내용을 이해하는데 중복되는 내용이 많아 이해하는데 많이 헷갈리시나요?

그렇다면 아래에 키워드를 통해 정리한 것을 참고하시면 전체적인 흐름에 대해 이해하기 좋을 겁니다.

특히, AD의 핵심 기능인 인증과 권한을 키워드로  정리를 했습니다.

키워드 정리 내용 아래에는 조금 더 자세한 정보들이 있으니 끝까지 읽어주세요~!

 

혹시라도 수정해야되거나 잘못된 부분이 있다면 피드백 주시면 감사하겠습니다.

 

AD 기능수준 정리 끝판왕 지금 시작합니다!

Keyword : 인증 / 권한 2008R2 [포리스트 기능 수준] AD휴지통 [도메인 기능수준] 인증 : 스마트카드, 사용자 이름, 암호 권한 : ADFS, 사용자의 로그온 방법 2012 [포리스트 기능 수준] - AD휴지통 [도메인 기능수준] - 인증 : 클레임 복합 인증 - 권한 : Keberos 아머링 KDC 관리 템플릿 정책 2012R2 [포리스트 기능 수준] - AD휴지통 [도메인 기능수준] - 인증 : 인증정책(AD정책), 인증 정책 사일로 - 권한 :  보호된 사용자를 위한 DC 측 보호 2016 [포리스트 기능 수준] - AD휴지통 - MIM을 사용하는 PAM [도메인 기능수준] - 인증 : 대화형 로그온에 필요한 스마트 카드, 공개 키 ID SID - 권한 : 네트워크 NTLM 허용 2019 : 이하 동문

 

1. 기능 수준의 정의

사용 가능한 AD DS(Active Directory Domain Service) 도메인 또는 포리스트 기능을 결정

도메인 또는 포리스트 도메인 컨트롤러에서 실행할 수 있는 Windows Server 운영 체제 결정

 - 도메인 또는 포리스트에 가입된 워크스테이션 구성원 서버에서 실행할 수 있는 운영 체제에는 영향을 주지 않는다.

 

2. 기능 수준 업그레이드 방법

GUI OR CMD

Set -ADDomain

 

3. 기능 수준 확인 방법

GUI OR POWER SHELL

Get-ADDomain

Get-ADFores

 

 

4. 기능 수준 버전별 특징(포리스트, 도메인)

- 2008 r2 부터 2012 r2 까지 + 2016, 2019버전별 기능수준 대표적인 특징

 

[2008 r2 기능 수준]

지원되는 도메인 컨트롤러 운영 체제:

윈도우 서버 2022

윈도우 서버 2019

윈도우 서버 2016

윈도우 서버 2012 R2

윈도우 서버 2012

윈도우 서버 2008 R2

 

윈도우 서버 2008 R2 포리스트 기능 수준 기능

• Windows Server 2003 포리스트 기능 수준에서 사용할 수 있는 모든 기능과 다음 기능:

 

윈도우 서버 2008 R2 도메인 기능 수준 기능

• 모든 기본 Active Directory 기능, Windows Server 2008 도메인 기능 수준의 모든 기능 및 다음 기능:

 

[2012 기능 수준]

지원되는 도메인 컨트롤러 운영 체제:

윈도우 서버 2022

윈도우 서버 2019

윈도우 서버 2016

윈도우 서버 2012 R2

윈도우 서버 2012

 

윈도우 서버 2012 포리스트 기능 수준 기능

Windows Server 2008 R2 포리스트 기능 수준에서 사용할 수 있는 모든 기능은 있지만 추가 기능은 없습니다.

 

Windows Server 2012 도메인 기능 수준 기능

모든 기본 Active Directory 기능, Windows Server 2008 R2 도메인 기능 수준의 모든 기능 및 다음 기능:

클레임, 복합 인증 및 Kerberos 아머링 KDC 관리 템플릿 정책에 대한 KDC 지원에는 Windows Server 2012 도메인 기능 수준이 필요한 두 가지 설정(항상 클레임 제공 및 아머링되지 않은 인증 요청 실패)이 있습니다.

자세한 내용은 Kerberos 인증의 새로운 기능을 참조하십시오.

 

[2012 r2 기능 수준]

지원되는 도메인 컨트롤러 운영 체제:

윈도우 서버 2022

윈도우 서버 2019

윈도우 서버 2016

윈도우 서버 2012 R2

 

윈도우 서버 2012 R2 포리스트 기능 수준 기능

Windows Server 2012 포리스트 기능 수준에서 사용할 수 있는 모든 기능은 있지만 추가 기능은 없습니다.

 

윈도우 서버 2012 R2 도메인 기능 수준 기능

모든 기본 Active Directory 기능, Windows Server 2012 도메인 기능 수준의 모든 기능 및 다음 기능:

보호된 사용자를 위한 DC 측 보호. Windows Server 2012 R2 도메인에 인증하는 보호된 사용자는 더 이상 다음을 수행할 수 없습니다.

NTLM 인증을 사용하여 인증

Kerberos 사전 인증에서 DES 또는 RC4 암호 제품군 사용

제약이 없거나 제한된 위임으로 위임

초기 4시간 수명을 초과하여 사용자 티켓(TGT) 갱신

인증 정책

Windows Server 2012 R2 도메인의 계정에 적용하여 로그온할 수 있는 계정을 호스트하는 호스트를 제어하고 계정으로 실행되는 서비스에 인증에 대한 액세스 제어 조건을 적용할 수 있는 새로운 포리스트 기반 Active Directory 정책입니다.

인증 정책 사일로

사용자, 관리 서비스 및 컴퓨터 간의 관계를 만들 수 있는 새 포리스트 기반 Active Directory 개체로, 인증 정책 또는 인증 격리를 위해 계정을 분류하는 데 사용할 계정입니다.

 

[2016 기능 수준]

지원되는 도메인 컨트롤러 운영 체제:

윈도우 서버 2022

윈도우 서버 2019

윈도우 서버 2016

이러한 버전의 Windows Server 중 하나의 도메인 컨트롤러를 추가하기 위한 최소 요구 사항은 Windows Server 2008 기능 수준입니다. 또한 도메인은 SYSVOL을 복제하기 위한 엔진으로 DFS-R을 사용해야 합니다.

 

윈도우 서버 2016 포리스트 기능 수준 기능

Windows Server 2012 R2 포리스트 기능 수준에서 사용할 수 있는 모든 기능과 다음 기능을 사용할 수 있습니다.

MIM(Microsoft ID 관리자)을 사용하는 PAM(권한 있는 액세스 관리)

 

Windows Server 2016 도메인 기능 수준 기능

모든 기본 Active Directory 기능, Windows Server 2012 R2 도메인 기능 수준의 모든 기능 및 다음 기능:

DC는 PKI 인증을 요구하도록 구성된 사용자 계정에서 NTLM 및 기타 암호 기반 비밀의 자동 롤링을 지원할 수 있습니다. 이 구성은 "대화형 로그온에 필요한 스마트 카드"라고도 합니다.

DC는 사용자가 특정 도메인에 가입된 장치로 제한될 때 네트워크 NTLM 허용을 지원할 수 있습니다.

PKInit 새로 고침 확장으로 성공적으로 인증하는 Kerberos 클라이언트는 새로운 공개 키 ID SID를 가져옵니다.

 

[2019 기능 수준]

Windows Server 2016 이후 추가된 새로운 포리스트 또는 도메인 기능 수준은 없습니다. 최신 운영 체제 버전은 도메인 컨트롤러에 사용할 수 있고 사용해야 하지만 Windows Server 2016을 최신 기능 수준으로 사용합니다.