Windows 2K3 / 2K8 도메인 컨트롤러에 로컬 사용자 및 그룹이없는 이유는 무엇입니까?

MS는 GUI 도구에서 '로컬 사용자 및 그룹'을 제거하는 데 큰 어려움을 겪었으며 lusrmgr.msc를 직접 확인하더라도 도메인 컨트롤러에서 스냅인이 실행되지 않는다고 불평합니다.

문제는 "왜 안돼?"입니다. DC에 로컬 보안 그룹이있는 것이 왜 합리적이지 않습니까?

windows-server-2008 security domain-controller

즉, "로컬 사용자"는 "도메인 사용자"가됩니다. Microsoft는 1 대의 컴퓨터에 대해 1 개의 인증 저장소 만 허용하도록 선택했습니다. 컴퓨터를 도메인 컨트롤러로 수준을 올릴 때 로컬 인증 저장소는 도메인 계정을 저장하는 데 사용됩니다. 더 이상 로컬 사용자 / 그룹 / 등이 없으므로 도메인 사용자 및 계정 만 남게됩니다. 정직하게 말하면, 도메인 컨트롤러에 "로컬"사용자가 있으면 도메인 컨트롤러를 처음부터 사용하려는 목적을 완전히 상실하게됩니다.

— 컴 위즈
소스

완전히 맞습니다. "로컬"은 "도메인에 없음"을 의미합니다. 이것이 MS가 AD를 설계 한 방식입니다.

— mfinni

알겠습니다. 따라서 DC의 경우 "로컬 인증 저장소"는 AD이고 해당 저장소에 정의 된 그룹 / 사용자는 도메인 범위를 갖는 것입니다.

— David Bullock

바로 그거죠. 로컬 사용자 / 그룹 / 등으로 작업하는 데 사용할 도구는 더 이상 로컬 사용자 / 그룹 / 등을 만들 수 없다고 생각합니다.

— TheCompWiz

또한 DC가 아닌 컴퓨터가 '로컬 관리자'그룹의 개념을 가질 수있는 경우 DC는 도메인 그룹을 존중합니까? 해당 그룹이 '도메인 관리자'입니까?

— David Bullock

로컬 관리자 그룹과 동등한 도메인은 Builtin \ Administrators 그룹입니다. 서버를 DC로 승격하면 로컬 그룹이 도메인의 기본 제공 그룹으로 변환됩니다. ADUC의 Bultin 컨테이너를 보면 이전에 로컬 그룹이었던 도메인 그룹이 표시됩니다. 또한 "DC가 도메인 그룹을 존중합니까?"는 무슨 뜻입니까?

— joeqwerty