Pregunta ¿Por qué no hay usuarios y grupos locales en los controladores de dominio de Windows 2K3 / 2K8?


MS se ha esforzado por eliminar 'Usuarios y grupos locales' de las herramientas de la GUI, e incluso si le pones lusrmgr.msc directamente, se queja de que el complemento no se ejecutará en un controlador de dominio.

¿La pregunta es, por qué no?" ¿Por qué no tiene sentido que un DC tenga grupos de seguridad locales?


9
2018-04-28 13:50


origen




Respuestas:


En resumen, los "usuarios locales" se convierten en "usuarios del dominio". Microsoft optó por permitir solo 1 repositorio de autenticación para 1 computadora. Cuando promueve una computadora a un controlador de dominio, el repositorio de autenticación local se utiliza para almacenar cuentas de dominio. Como ya no hay un conjunto de usuarios / grupos / etc locales, solo te quedan usuarios y cuentas de dominio. Honestamente, tener usuarios "locales" en un controlador de dominio realmente anula el propósito de tener un controlador de dominio en primer lugar.


14
2018-04-28 13:55



Enteramente correcto "Local" significa "no en el dominio". Esta es la forma en que MS diseñó AD. - mfinni
OK, eso tiene sentido. Entonces, las implicaciones de esto son: ¿que el "repositorio de autenticación local" en el caso de un DC es AD, y los grupos / usuarios definidos en ese repositorio tienen un alcance de dominio? - David Bullock
Exactamente. Creo que las herramientas que usaría para trabajar con usuarios / grupos / etc locales también no le permitirán crear usuarios / grupos / etc locales. - TheCompWiz
Además, cuando una computadora que no es de DC puede tener la noción de un grupo de 'Administradores locales', ¿respeta un DC un grupo de dominio? ¿Es ese grupo los 'Administradores de Dominio'? - David Bullock
El dominio equivalente al grupo de administradores locales es el grupo Builtin \ Administrators. Cuando promueve un servidor a un DC, los grupos locales se convierten en grupos integrados en el dominio. Si busca en el contenedor de Bultin en ADUC, verá los grupos de dominio que antes eran grupos locales. Además, ¿qué quiere decir con "un DC respeta un grupo de dominio"? - joeqwerty