Windows 2K3 / 2K8ドメインコントローラーにローカルユーザーとローカルグループがないのはなぜですか?

11

MSは、GUIツールから「ローカルユーザーとグループ」を削除するために多大な労力を費やしており、lusrmgr.mscを直接くすぐったとしても、スナップインがドメインコントローラーで実行されないことを訴えます。

問題は、「なぜそうでないのか」です。DCがローカルセキュリティグループを持つことが意味をなさないのはなぜですか?

windows-server-2008  security  domain-controller 
デビッドブロック
ソース

回答:

15

つまり、「ローカルユーザー」が「ドメインユーザー」になります。Microsoftは、1台のコンピューターに対して1つの認証リポジトリのみを許可することを選択しました。コンピューターをドメインコントローラーに昇格させると、ローカル認証リポジトリを使用してドメインアカウントが格納されます。ローカルユーザー/グループ/その他のセットがないため、ドメインユーザーとアカウントのみが残ります。正直なところ、ドメインコントローラに "ローカル"ユーザーがいると、そもそもドメインコントローラを持つ目的が損なわれます。

TheCompWiz
ソース
2
完全に正しい。「ローカル」とは「ドメイン外」を意味します。これは、MSがADを設計した方法です。
mfinni 2011
わかりました。つまり、これが意味するところは、DCの場合の「ローカル認証リポジトリ」がたまたまADであり、そのリポジトリで定義されたグループ/ユーザーがドメインスコープを持っているということです。
デビッドブロック
丁度。local-users / groups / etcを操作するために使用するツールでも、ローカルユーザー/グループ/ etcを作成できなくなると思います。
TheCompWiz 2011
また、DC以外のコンピューターに「ローカル管理者」グループの概念がある場合、DCはドメイングループを尊重しますか?そのグループは「ドメイン管理者」ですか?
デビッドブロック
3
ローカルのAdministratorsグループと同等のドメインはBuiltin \ Administratorsグループです。サーバーをDCに昇格させると、ローカルグループはドメイン内のビルトイングループに変換されます。ADUCのBultinコンテナーを見ると、以前はローカルグループであったドメイングループが表示されます。また、「DCはドメイングループを尊重しますか」とはどういう意味ですか?
joeqwerty
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.