¿Por qué no hay usuarios y grupos locales en los controladores de dominio Windows 2K3 / 2K8?

11

MS se ha esforzado mucho para eliminar 'Usuarios y grupos locales' de las herramientas de la GUI, e incluso si le hace cosquillas a lusrmgr.msc directamente, se queja de que el complemento no se ejecutará en un controlador de dominio.

¿La pregunta es, por qué no?" ¿Por qué no tiene sentido que un DC tenga grupos de seguridad locales?

David Bullock
fuente

Respuestas:

15

En resumen, los "usuarios locales" se convierten en "usuarios de dominio". Microsoft optó por permitir solo 1 repositorio de autenticación para 1 computadora. Cuando promociona una computadora a un controlador de dominio, el repositorio de autenticación local se utiliza para almacenar cuentas de dominio. Como ya no hay un conjunto de usuarios / grupos locales, etc., solo le quedan usuarios y cuentas de dominio. Honestamente, tener usuarios "locales" en un controlador de dominio realmente anula el propósito de tener un controlador de dominio en primer lugar.

TheCompWiz
fuente
2
Completamente correcto "Local" significa "no en el dominio". Así es como MS diseñó AD.
mfinni
OK, eso tiene sentido. Entonces, las implicaciones de esto son: que el "repositorio de autenticación local" en el caso de un DC resulta ser AD, y los grupos / usuarios definidos en ese repositorio tienen un alcance de dominio.
David Bullock
Exactamente. Creo que las herramientas que usaría para trabajar con usuarios / grupos locales / etc ... tampoco le permitirán crear usuarios / grupos / etc locales.
TheCompWiz
Además, cuando una computadora que no es DC puede tener la noción de un grupo de 'Administradores locales', ¿respeta DC un grupo de dominio? ¿Es ese grupo los 'Administradores de dominio'?
David Bullock
3
El dominio equivalente al grupo de Administradores locales es el grupo Builtin \ Administrators. Cuando promociona un servidor a DC, los grupos locales se convierten en grupos incorporados en el dominio. Si busca en el contenedor Bultin en ADUC, verá los grupos de dominio que anteriormente eran grupos locales. Además, ¿qué quiere decir "¿Un DC respeta un grupo de dominio"?
joeqwerty