Почему на контроллерах домена Windows 2K3 / 2K8 нет локальных пользователей и групп?


11

MS приложила большие усилия, чтобы удалить «Локальные пользователи и группы» из инструментов GUI, и даже если вы щекотали lusrmgr.msc напрямую, она жаловалась, что оснастка не будет работать на контроллере домена.

Вопрос в том, почему бы и нет? Почему для DC не имеет смысла иметь локальные группы безопасности?

Ответы:


15

Короче говоря, «локальные пользователи» становятся «пользователями домена». Microsoft решила разрешить только 1 хранилище аутентификации для 1 компьютера. Когда вы продвигаете компьютер на контроллер домена, локальный репозиторий аутентификации используется для хранения учетных записей домена. Поскольку больше нет набора локальных пользователей / групп / и т. Д. ... у вас остались только пользователи и учетные записи домена. Честно говоря, наличие «локальных» пользователей на контроллере домена действительно побеждает цель иметь контроллер домена в первую очередь.


2
Совершенно верно. «Локальный» означает «не в домене». Именно так MS разработала AD.
mfinni

ОК, это имеет смысл. Таким образом, последствия этого заключаются в том, что «локальный репозиторий аутентификации» в случае DC оказывается AD, а группы / пользователи, определенные в этом репозитории, имеют область действия домена?
Дэвид Баллок

В точку. Я считаю, что инструменты, которые вы бы использовали для работы с локальными пользователями / группами / и т. Д. ..., также больше не позволят вам создавать локальных пользователей / групп / и т. Д.
TheCompWiz

Кроме того, если компьютер без DC может иметь понятие группы «Local Administrators», уважает ли DC группу домена? Эта группа «Администраторы домена»?
Дэвид Баллок

3
Домен, эквивалентный группе Local Administrators, является группой Builtin \ Administrators. При продвижении сервера в DC локальные группы преобразуются в встроенные группы в домене. Если вы посмотрите на контейнер Bultin в ADUC, вы увидите группы доменов, которые ранее были локальными группами. Кроме того, что вы имеете в виду "уважает ли DC группу доменов"?
Joeqwerty
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.