Pourquoi n'y a-t-il pas d'utilisateurs et de groupes locaux sur les contrôleurs de domaine Windows 2K3 / 2K8?

11

MS a pris grand soin de supprimer les «utilisateurs et groupes locaux» des outils GUI, et même si vous chatouillez directement lusrmgr.msc, il se plaint que le composant logiciel enfichable ne fonctionnera pas sur un contrôleur de domaine.

La question est "pourquoi pas?" Pourquoi n'est-il pas logique qu'un DC ait des groupes de sécurité locaux?

windows-server-2008 security domain-controller David Bullock
la source

Réponses:

15

En bref, les "utilisateurs locaux" deviennent des "utilisateurs de domaine". Microsoft a choisi d'autoriser uniquement 1 référentiel d'authentification pour 1 ordinateur. Lorsque vous promouvez un ordinateur en contrôleur de domaine, le référentiel d'authentification local est utilisé pour stocker les comptes de domaine. Puisqu'il n'y a plus un ensemble d'utilisateurs / groupes / etc locaux ... il ne vous reste que des utilisateurs et des comptes de domaine. En toute honnêteté, avoir des utilisateurs "locaux" sur un contrôleur de domaine va vraiment à l'encontre du but d'avoir un contrôleur de domaine en premier lieu.

TheCompWiz
la source
2
Tout à fait correct. "Local" signifie "pas dans le domaine". C'est ainsi que MS a conçu AD.
mfinni
OK, ça a du sens. Les implications de ceci sont donc: que le "référentiel d'authentification local" dans le cas d'un contrôleur de domaine se trouve être AD, et les groupes / utilisateurs définis dans ce référentiel ont une portée de domaine?
David Bullock
Exactement. Je crois que les outils que vous utiliseriez pour travailler avec des utilisateurs / groupes locaux / etc ... ne vous permettront plus non plus de créer des utilisateurs / groupes / etc locaux.
TheCompWiz
De plus, lorsqu'un ordinateur non DC peut avoir la notion de groupe «Administrateurs locaux», un DC respecte-t-il un groupe de domaine? Ce groupe est-il les «administrateurs de domaine»?
David Bullock
3
Le domaine équivalent au groupe Administrateurs locaux est le groupe Builtin \ Administrators. Lorsque vous promouvez un serveur en contrôleur de domaine, les groupes locaux sont convertis en groupes intégrés dans le domaine. Si vous regardez dans le conteneur Bultin dans ADUC, vous verrez les groupes de domaine qui étaient auparavant des groupes locaux. Aussi, que voulez-vous dire par "un DC respecte-t-il un groupe de domaines"?
joeqwerty