Warum gibt es auf Windows 2K3 / 2K8-Domänencontrollern keine lokalen Benutzer und Gruppen?

11

MS hat große Anstrengungen unternommen, um "Lokale Benutzer und Gruppen" aus den GUI-Tools zu entfernen, und selbst wenn Sie lusrmgr.msc direkt aufrufen, wird beanstandet, dass das Snap-In nicht auf einem Domänencontroller ausgeführt wird.

Die Frage ist "warum nicht?" Warum ist es für einen DC nicht sinnvoll, lokale Sicherheitsgruppen zu haben?

windows-server-2008  security  domain-controller 
David Bullock
quelle

Antworten:

15

Kurz gesagt, die "lokalen Benutzer" werden zu "Domänenbenutzern". Microsoft hat sich dafür entschieden, nur 1 Authentifizierungs-Repository für 1 Computer zuzulassen. Wenn Sie einen Computer zu einem Domänencontroller hochstufen, wird das lokale Authentifizierungsrepository zum Speichern von Domänenkonten verwendet. Da es keine lokalen Benutzer / Gruppen / usw. mehr gibt, bleiben nur noch Domänenbenutzer und -konten übrig. Um ehrlich zu sein, macht das Vorhandensein "lokaler" Benutzer auf einem Domänencontroller den Zweck, überhaupt einen Domänencontroller zu haben, wirklich zunichte.

TheCompWiz
quelle
2
Ganz richtig. "Lokal" bedeutet "nicht in der Domäne". Auf diese Weise hat MS AD entwickelt.
Mfinni
OK, das macht Sinn. Dies hat folgende Auswirkungen: Das "lokale Authentifizierungs-Repository" im Fall eines Domänencontrollers ist AD, und die in diesem Repository definierten Gruppen / Benutzer haben einen Domänenbereich.
David Bullock
Genau. Ich glaube, dass die Tools, die Sie für die Arbeit mit lokalen Benutzern / Gruppen / usw. verwenden würden, es Ihnen auch nicht mehr ermöglichen, lokale Benutzer / Gruppen / usw. Zu erstellen.
TheCompWiz
Wenn ein Nicht-DC-Computer möglicherweise die Vorstellung einer Gruppe "Lokale Administratoren" hat, respektiert ein DC eine Domänengruppe? Ist diese Gruppe die 'Domänenadministratoren'?
David Bullock
3
Die der Gruppe "Lokale Administratoren" entsprechende Domäne ist die Gruppe "Eingebaut \ Administratoren". Wenn Sie einen Server zu einem Domänencontroller hochstufen, werden die lokalen Gruppen in der Domäne in integrierte Gruppen konvertiert. Wenn Sie in ADUC in den Bultin-Container schauen, sehen Sie die Domänengruppen, die früher lokale Gruppen waren. Was meinst du mit "Respektiert ein DC eine Domänengruppe"?
Joeqwerty
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.