MS se ha esforzado mucho para eliminar 'Usuarios y grupos locales' de las herramientas de la GUI, e incluso si le hace cosquillas a lusrmgr.msc directamente, se queja de que el complemento no se ejecutará en un controlador de dominio.
¿La pregunta es, por qué no?" ¿Por qué no tiene sentido que un DC tenga grupos de seguridad locales?
fuente