Dlaczego na kontrolerach domeny Windows 2K3 / 2K8 nie ma lokalnych użytkowników i grup?

11

MS dokładało wszelkich starań, aby usunąć „Lokalnych użytkowników i grupy” z narzędzi GUI, a nawet jeśli łaskniesz bezpośrednio plik lusrmgr.msc, skarży się, że przystawka nie będzie działać na kontrolerze domeny.

Pytanie brzmi „dlaczego nie?” Dlaczego DC nie ma sensu mieć lokalnych grup bezpieczeństwa?

windows-server-2008  security  domain-controller 
David Bullock
źródło

Odpowiedzi:

15

Krótko mówiąc, „użytkownicy lokalni” stają się „użytkownikami domeny”. Firma Microsoft zdecydowała się zezwolić tylko na 1 repozytorium uwierzytelniania dla 1 komputera. Gdy awansujesz komputer na kontroler domeny, lokalne repozytorium uwierzytelniania służy do przechowywania kont domeny. Ponieważ nie ma już zestawu lokalnych użytkowników / grup / etc ... pozostali tylko użytkownicy domeny i konta. Szczerze mówiąc, posiadanie „lokalnych” użytkowników na kontrolerze domeny naprawdę przeczy celowi posiadania kontrolera domeny.

TheCompWiz
źródło
2
Całkowicie poprawne. „Lokalny” oznacza „poza domeną”. W ten sposób MS zaprojektowało AD.
mfinni
OK, to ma sens. Konsekwencje tego są następujące: „lokalne repozytorium uwierzytelniania” w przypadku kontrolera domeny to AD, a grupy / użytkownicy zdefiniowani w tym repozytorium mają zakres domeny?
David Bullock
Dokładnie. Uważam, że narzędzia, których używałbyś do pracy z lokalnymi użytkownikami / grupami / etc ... również nie pozwalają już tworzyć lokalnych użytkowników / grup / etc.
TheCompWiz
Ponadto, w przypadku gdy komputer inny niż DC może mieć pojęcie grupy „lokalnych administratorów”, czy kontroler domeny przestrzega grupy domen? Czy ta grupa to „Administratorzy domeny”?
David Bullock
3
Domeną równoważną grupie Administratorzy lokalni jest grupa Builtin \ Administrators. Gdy awansujesz serwer na kontroler domeny, grupy lokalne są przekształcane w grupy wbudowane w domenie. Jeśli zajrzysz do kontenera Bultin w ADUC, zobaczysz grupy domen, które wcześniej były grupami lokalnymi. Ponadto, co masz na myśli „Czy DC szanuje grupę domen”?
joeqwerty
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.