Perché non ci sono utenti e gruppi locali sui controller di dominio Windows 2K3 / 2K8?

11

MS ha fatto molta fatica a rimuovere "Utenti e gruppi locali" dagli strumenti della GUI e anche se si fa il solletico direttamente lusrmgr.msc si lamenta che lo snap-in non verrà eseguito su un controller di dominio.

La domanda è "perché no?" Perché non ha senso che un controller di dominio disponga di gruppi di sicurezza locali?

windows-server-2008  security  domain-controller 
David Bullock
fonte

Risposte:

15

In breve, gli "utenti locali" diventano "utenti di dominio". Microsoft ha deciso di consentire solo 1 repository di autenticazione per 1 computer. Quando si promuove un computer in un controller di dominio, il repository di autenticazione locale viene utilizzato per archiviare gli account di dominio. Dal momento che non esiste più un insieme di utenti / gruppi / ecc. Locali, ti rimangono solo utenti e account di dominio. In tutta onestà, avere utenti "locali" su un controller di dominio sconfigge davvero lo scopo di avere un controller di dominio in primo luogo.

TheCompWiz
fonte
2
Totalmente corretto. "Locale" significa "non nel dominio". Questo è il modo in cui MS ha progettato AD.
mfinni,
OK, ha senso. Quindi le implicazioni di ciò sono: che il "repository di autenticazione locale" nel caso di un controller di dominio sembra essere AD e che i gruppi / utenti definiti in quel repository hanno un ambito di dominio?
David Bullock,
Esattamente. Credo che gli strumenti che useresti per lavorare con utenti / gruppi locali / ecc ... non ti permetteranno più di creare utenti / gruppi locali / ecc.
TheCompWiz,
Inoltre, laddove un computer non DC potrebbe avere la nozione di un gruppo di "amministratori locali", un controller di dominio rispetta un gruppo di dominio? Quel gruppo è "Amministratori di dominio"?
David Bullock,
3
Il dominio equivalente al gruppo degli amministratori locali è il gruppo predefinito \ amministratori. Quando si promuove un server in un controller di dominio, i gruppi locali vengono convertiti in gruppi predefiniti nel dominio. Se guardi nel contenitore Bultin in ADUC vedrai i gruppi di dominio che erano precedentemente gruppi locali. Inoltre, cosa intendi con "Un DC rispetta un gruppo di domini"?
joeqwerty,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.