MS приложила большие усилия, чтобы удалить «Локальные пользователи и группы» из инструментов GUI, и даже если вы щекотали lusrmgr.msc напрямую, она жаловалась, что оснастка не будет работать на контроллере домена.
Вопрос в том, почему бы и нет? Почему для DC не имеет смысла иметь локальные группы безопасности?