Por que não há usuários e grupos locais nos controladores de domínio do Windows 2K3 / 2K8?

11

A Microsoft fez um grande esforço para remover 'Usuários e Grupos Locais' das ferramentas da GUI, e mesmo se você ativar o lusrmgr.msc diretamente, ele reclama que o snap-in não será executado em um controlador de domínio.

A questão é "por que não?" Por que não faz sentido que um controlador de domínio tenha grupos de segurança local?

windows-server-2008  security  domain-controller 
David Bullock
fonte

Respostas:

15

Em resumo, os "usuários locais" se tornam "usuários de domínio". A Microsoft optou por permitir apenas 1 repositório de autenticação para 1 computador. Quando você promove um computador para um controlador de domínio, o repositório de autenticação local é usado para armazenar contas de domínio. Como não há mais um conjunto de usuários / grupos / etc locais ... você só fica com usuários e contas de domínio. Com toda a honestidade, ter usuários "locais" em um controlador de domínio realmente anula o propósito de ter um controlador de domínio em primeiro lugar.

TheCompWiz
fonte
2
Totalmente correto. "Local" significa "fora do domínio". É assim que a MS projetou o AD.
mfinni
OK, isso faz sentido. Portanto, as implicações disso são: que o "repositório de autenticação local" no caso de um controlador de domínio é o AD, e os grupos / usuários definidos nesse repositório têm um escopo de domínio?
David Bullock
Exatamente. Acredito que as ferramentas que você usaria para trabalhar com usuários / grupos locais / etc ... também não permitirão mais que você crie usuários / grupos locais / etc.
TheCompWiz
Além disso, onde um computador não pertencente ao controlador de domínio pode ter a noção de um grupo de 'Administradores Locais', um controlador de domínio respeita um grupo de domínio? Esse grupo é o 'Administrador de Domínio'?
David Bullock
3
O equivalente do domínio ao grupo Administradores Locais é o grupo Builtin \ Administradores. Quando você promove um servidor para um controlador de domínio, os grupos locais são convertidos em grupos internos no domínio. Se você procurar no contêiner Bultin no ADUC, verá os grupos de domínio que anteriormente eram grupos locais. Além disso, o que você quer dizer com "Um controlador de domínio respeita um grupo de domínio"?
precisa saber é o seguinte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.