MS hat große Anstrengungen unternommen, um "Lokale Benutzer und Gruppen" aus den GUI-Tools zu entfernen, und selbst wenn Sie lusrmgr.msc direkt aufrufen, wird beanstandet, dass das Snap-In nicht auf einem Domänencontroller ausgeführt wird.
Die Frage ist "warum nicht?" Warum ist es für einen DC nicht sinnvoll, lokale Sicherheitsgruppen zu haben?