Почему на контроллерах домена Windows 2K3 / 2K8 нет локальных пользователей и групп?

Короче говоря, «локальные пользователи» становятся «пользователями домена». Microsoft решила разрешить только 1 хранилище аутентификации для 1 компьютера. Когда вы продвигаете компьютер на контроллер домена, локальный репозиторий аутентификации используется для хранения учетных записей домена. Поскольку больше нет набора локальных пользователей / групп / и т. Д. ... у вас остались только пользователи и учетные записи домена. Честно говоря, наличие «локальных» пользователей на контроллере домена действительно побеждает цель иметь контроллер домена в первую очередь.

TheCompWiz
источник

Совершенно верно. «Локальный» означает «не в домене». Именно так MS разработала AD.

mfinni

ОК, это имеет смысл. Таким образом, последствия этого заключаются в том, что «локальный репозиторий аутентификации» в случае DC оказывается AD, а группы / пользователи, определенные в этом репозитории, имеют область действия домена?

Дэвид Баллок

В точку. Я считаю, что инструменты, которые вы бы использовали для работы с локальными пользователями / группами / и т. Д. ..., также больше не позволят вам создавать локальных пользователей / групп / и т. Д.

TheCompWiz

Кроме того, если компьютер без DC может иметь понятие группы «Local Administrators», уважает ли DC группу домена? Эта группа «Администраторы домена»?

Дэвид Баллок

Домен, эквивалентный группе Local Administrators, является группой Builtin \ Administrators. При продвижении сервера в DC локальные группы преобразуются в встроенные группы в домене. Если вы посмотрите на контейнер Bultin в ADUC, вы увидите группы доменов, которые ранее были локальными группами. Кроме того, что вы имеете в виду "уважает ли DC группу доменов"?

Joeqwerty

Почему на контроллерах домена Windows 2K3 / 2K8 нет локальных пользователей и групп?

Ответы: