MS приложила огромные усилия, чтобы удалить «Локальные пользователи и группы» из инструментов графического интерфейса, и даже если вы напрямую вызовете lusrmgr.msc, он пожалуется, что оснастка не будет работать на контроллере домена.
Вопрос в том, почему бы и нет? Почему для DC не имеет смысла иметь локальные группы безопасности?
Короче говоря, «локальные пользователи» становятся «пользователями домена». Microsoft решила разрешить только 1 репозиторий аутентификации для 1 компьютера. Когда вы повышаете уровень компьютера до контроллера домена, для хранения учетных записей домена используется локальный репозиторий аутентификации. Поскольку больше нет набора локальных пользователей / групп / и т. Д., У вас остались только пользователи и учетные записи домена. Честно говоря, наличие «локальных» пользователей на контроллере домена действительно лишает смысла наличие контроллера домена.