Tại sao không có người dùng và nhóm cục bộ trên bộ điều khiển miền Windows 2K3 / 2K8?

MS đã rất vất vả để loại bỏ 'Người dùng và nhóm cục bộ' khỏi các công cụ GUI và ngay cả khi bạn tích tắc trực tiếp lusrmgr.msc, nó vẫn phàn nàn rằng snap-in sẽ không chạy trên bộ điều khiển miền.

Câu hỏi là "tại sao không?" Tại sao DC không có các nhóm bảo mật địa phương?

windows-server-2008 security domain-controller

— David Bullock
nguồn

Nói tóm lại, "người dùng cục bộ" trở thành "người dùng tên miền". Microsoft đã chọn chỉ cho phép 1 kho xác thực cho 1 máy tính. Khi bạn quảng cáo máy tính lên bộ điều khiển miền, kho xác thực cục bộ được sử dụng để lưu trữ tài khoản miền. Vì không còn có một nhóm người dùng / nhóm / địa phương / v.v ... bạn chỉ còn lại với tài khoản và người dùng tên miền. Thành thật mà nói, việc có người dùng "cục bộ" trên bộ điều khiển miền thực sự đánh bại mục đích có bộ điều khiển miền ngay từ đầu.

— TheCompWiz
nguồn

Hoàn toàn chính xác. "Địa phương" có nghĩa là "không có trong miền." Đây là cách MS thiết kế AD.

— mfinni

Được rồi, cái đó có lý. Vì vậy, ý nghĩa của việc này là: "kho lưu trữ xác thực cục bộ" trong trường hợp DC xảy ra là AD và các nhóm / người dùng được xác định trong kho lưu trữ đó có phạm vi miền không?

— David Bullock

Chính xác. Tôi tin rằng các công cụ bạn sẽ sử dụng để làm việc với người dùng / nhóm / người dùng cục bộ ... cũng sẽ không còn cho phép bạn tạo người dùng / nhóm / người dùng cục bộ.

— TheCompWiz

Ngoài ra, khi một máy tính không phải DC có thể có khái niệm về nhóm 'Quản trị viên cục bộ', thì DC có tôn trọng một nhóm miền không? Có phải nhóm đó là 'Quản trị viên tên miền'?

— David Bullock

Tên miền tương đương với nhóm Quản trị viên cục bộ là nhóm Được xây dựng \ Quản trị viên. Khi bạn quảng cáo máy chủ lên DC, các nhóm cục bộ sẽ được chuyển đổi thành các nhóm dựng sẵn trong miền. Nếu bạn tìm trong bộ chứa Bultin trong ADUC, bạn sẽ thấy các nhóm miền trước đây là các nhóm địa phương. Ngoài ra, ý của bạn là "DC có tôn trọng một nhóm miền" không?

— joeqwerty