A Microsoft fez um grande esforço para remover 'Usuários e Grupos Locais' das ferramentas da GUI, e mesmo se você ativar o lusrmgr.msc diretamente, ele reclama que o snap-in não será executado em um controlador de domínio.
A questão é "por que não?" Por que não faz sentido que um controlador de domínio tenha grupos de segurança local?