MS приложила большие усилия, чтобы удалить «Локальные пользователи и группы» из инструментов GUI, и даже если вы щекотали lusrmgr.msc напрямую, она жаловалась, что оснастка не будет работать на контроллере домена.
Вопрос в том, почему бы и нет? Почему для DC не имеет смысла иметь локальные группы безопасности?
Ответы:
Короче говоря, «локальные пользователи» становятся «пользователями домена». Microsoft решила разрешить только 1 хранилище аутентификации для 1 компьютера. Когда вы продвигаете компьютер на контроллер домена, локальный репозиторий аутентификации используется для хранения учетных записей домена. Поскольку больше нет набора локальных пользователей / групп / и т. Д. ... у вас остались только пользователи и учетные записи домена. Честно говоря, наличие «локальных» пользователей на контроллере домена действительно побеждает цель иметь контроллер домена в первую очередь.