Dlaczego na kontrolerach domeny Windows 2K3 / 2K8 nie ma lokalnych użytkowników i grup?

Krótko mówiąc, „użytkownicy lokalni” stają się „użytkownikami domeny”. Firma Microsoft zdecydowała się zezwolić tylko na 1 repozytorium uwierzytelniania dla 1 komputera. Gdy awansujesz komputer na kontroler domeny, lokalne repozytorium uwierzytelniania służy do przechowywania kont domeny. Ponieważ nie ma już zestawu lokalnych użytkowników / grup / etc ... pozostali tylko użytkownicy domeny i konta. Szczerze mówiąc, posiadanie „lokalnych” użytkowników na kontrolerze domeny naprawdę przeczy celowi posiadania kontrolera domeny.

TheCompWiz
źródło

Całkowicie poprawne. „Lokalny” oznacza „poza domeną”. W ten sposób MS zaprojektowało AD.

mfinni

OK, to ma sens. Konsekwencje tego są następujące: „lokalne repozytorium uwierzytelniania” w przypadku kontrolera domeny to AD, a grupy / użytkownicy zdefiniowani w tym repozytorium mają zakres domeny?

David Bullock

Dokładnie. Uważam, że narzędzia, których używałbyś do pracy z lokalnymi użytkownikami / grupami / etc ... również nie pozwalają już tworzyć lokalnych użytkowników / grup / etc.

TheCompWiz

Ponadto, w przypadku gdy komputer inny niż DC może mieć pojęcie grupy „lokalnych administratorów”, czy kontroler domeny przestrzega grupy domen? Czy ta grupa to „Administratorzy domeny”?

David Bullock

Domeną równoważną grupie Administratorzy lokalni jest grupa Builtin \ Administrators. Gdy awansujesz serwer na kontroler domeny, grupy lokalne są przekształcane w grupy wbudowane w domenie. Jeśli zajrzysz do kontenera Bultin w ADUC, zobaczysz grupy domen, które wcześniej były grupami lokalnymi. Ponadto, co masz na myśli „Czy DC szanuje grupę domen”?

joeqwerty

Dlaczego na kontrolerach domeny Windows 2K3 / 2K8 nie ma lokalnych użytkowników i grup?

Odpowiedzi: