Warum gibt es auf Windows 2K3 / 2K8-Domänencontrollern keine lokalen Benutzer und Gruppen?

Kurz gesagt, die "lokalen Benutzer" werden zu "Domänenbenutzern". Microsoft hat sich dafür entschieden, nur 1 Authentifizierungs-Repository für 1 Computer zuzulassen. Wenn Sie einen Computer zu einem Domänencontroller hochstufen, wird das lokale Authentifizierungsrepository zum Speichern von Domänenkonten verwendet. Da es keine lokalen Benutzer / Gruppen / usw. mehr gibt, bleiben nur noch Domänenbenutzer und -konten übrig. Um ehrlich zu sein, macht das Vorhandensein "lokaler" Benutzer auf einem Domänencontroller den Zweck, überhaupt einen Domänencontroller zu haben, wirklich zunichte.

TheCompWiz
quelle

Ganz richtig. "Lokal" bedeutet "nicht in der Domäne". Auf diese Weise hat MS AD entwickelt.

Mfinni

OK, das macht Sinn. Dies hat folgende Auswirkungen: Das "lokale Authentifizierungs-Repository" im Fall eines Domänencontrollers ist AD, und die in diesem Repository definierten Gruppen / Benutzer haben einen Domänenbereich.

David Bullock

Genau. Ich glaube, dass die Tools, die Sie für die Arbeit mit lokalen Benutzern / Gruppen / usw. verwenden würden, es Ihnen auch nicht mehr ermöglichen, lokale Benutzer / Gruppen / usw. Zu erstellen.

TheCompWiz

Wenn ein Nicht-DC-Computer möglicherweise die Vorstellung einer Gruppe "Lokale Administratoren" hat, respektiert ein DC eine Domänengruppe? Ist diese Gruppe die 'Domänenadministratoren'?

David Bullock

Die der Gruppe "Lokale Administratoren" entsprechende Domäne ist die Gruppe "Eingebaut \ Administratoren". Wenn Sie einen Server zu einem Domänencontroller hochstufen, werden die lokalen Gruppen in der Domäne in integrierte Gruppen konvertiert. Wenn Sie in ADUC in den Bultin-Container schauen, sehen Sie die Domänengruppen, die früher lokale Gruppen waren. Was meinst du mit "Respektiert ein DC eine Domänengruppe"?

Joeqwerty

Warum gibt es auf Windows 2K3 / 2K8-Domänencontrollern keine lokalen Benutzer und Gruppen?

Antworten: