11 MS已竭尽全力从GUI工具中删除“本地用户和组”,即使您直接勾选lusrmgr.msc,它也会抱怨该管理单元无法在域控制器上运行。 问题是“为什么不呢?” 为什么DC具有本地安全组没有意义? windows-server-2008 security domain-controller — 大卫·布洛克 source
15 简而言之,“本地用户”成为“域用户”。Microsoft选择仅允许1台计算机使用1个身份验证存储库。将计算机提升为域控制器时,本地身份验证存储库用于存储域帐户。由于不再有一组本地用户/组/等等...,您只剩下域用户和帐户了。老实说,在域控制器上拥有“本地”用户确实会破坏首先拥有域控制器的目的。 — CompWiz source 2 完全正确。“本地”是指“不在域中”。这就是MS设计AD的方式。 — mfinni 2011年 好的,那很有道理。因此,这意味着:DC情况下的“本地身份验证存储库”恰好是AD,并且在该存储库中定义的组/用户具有域范围? — 大卫·布洛克 究竟。我相信您将用于与本地用户/组/等一起使用的工具...也将不再允许您创建本地用户/组/等。 — TheCompWiz 2011年 另外,在非DC计算机可能具有“本地管理员”组的概念的情况下,DC是否尊重域组?该组是“域管理员”吗? — 大卫·布洛克 3 与Local Administrators组等效的域是Builtin \ Administrators组。将服务器提升为DC时,本地组将转换为域中的Builtin组。如果您在ADUC的Bultin容器中查看,则会看到以前是本地组的域组。另外,您的意思是“ DC是否尊重域组”? — joeqwerty