เหตุใดจึงไม่มีผู้ใช้ภายในและกลุ่มในตัวควบคุมโดเมน Windows 2K3 / 2K8

11

MS ใช้ความเจ็บปวดอย่างมากในการลบ 'ผู้ใช้และกลุ่มภายใน' ออกจากเครื่องมือ GUI และแม้ว่าคุณจะจั๊กจี้ lusrmgr.msc โดยตรงก็บ่นว่าสแน็ปอินจะไม่ทำงานบนตัวควบคุมโดเมน

คำถามคือ "ทำไมไม่" เหตุใดจึงไม่เหมาะสมที่ DC จะมีกลุ่มความปลอดภัยในพื้นที่

windows-server-2008  security  domain-controller 
เดวิดบุลล็อค
แหล่งที่มา

คำตอบ:

15

กล่าวโดยย่อว่า "ผู้ใช้ในพื้นที่" กลายเป็น "ผู้ใช้โดเมน" Microsoft เลือกที่จะอนุญาตที่เก็บข้อมูลการรับรองความถูกต้องเพียง 1 ที่สำหรับคอมพิวเตอร์ 1 เครื่อง เมื่อคุณเลื่อนระดับคอมพิวเตอร์ไปยังตัวควบคุมโดเมนที่เก็บข้อมูลการรับรองความถูกต้องภายในเครื่องจะใช้ในการจัดเก็บบัญชีโดเมน เนื่องจากไม่มีกลุ่มผู้ใช้ / กลุ่ม / ฯลฯ ในพื้นที่อีกต่อไป ... คุณจะเหลือ แต่ผู้ใช้และบัญชีโดเมนเท่านั้น ในความซื่อสัตย์ทั้งหมดการมีผู้ใช้ "ท้องถิ่น" บนตัวควบคุมโดเมนจะเอาชนะจุดประสงค์ของการมีตัวควบคุมโดเมนตั้งแต่แรก

TheCompWiz
แหล่งที่มา
2
ถูกต้องทั้งหมด "Local" หมายถึง "ไม่ได้อยู่ในโดเมน" นี่คือวิธีที่ MS ออกแบบโฆษณา
mfinni
ตกลงนั่นทำให้รู้สึก ดังนั้นความหมายของสิ่งนี้คือ: "ที่เก็บการพิสูจน์ตัวตนแบบโลคัล" ในกรณีของ DC เกิดขึ้นเป็นโฆษณาและกลุ่ม / ผู้ใช้ที่กำหนดในที่เก็บนั้นมีขอบเขตโดเมนหรือไม่
David Bullock
เผง ฉันเชื่อว่าเครื่องมือที่คุณจะใช้ในการทำงานกับผู้ใช้ท้องถิ่น / กลุ่ม / ฯลฯ ... จะไม่อนุญาตให้คุณสร้างผู้ใช้ / กลุ่ม / ฯลฯ ในท้องถิ่นอีกต่อไป
TheCompWiz
นอกจากนี้คอมพิวเตอร์ที่ไม่ใช่ DC อาจมีแนวคิดของกลุ่ม 'Local Administrators' DC จะเคารพกลุ่มโดเมนหรือไม่ กลุ่มนี้เป็น 'ผู้ดูแลโดเมน' หรือไม่
David Bullock
3
โดเมนที่เทียบเท่ากับกลุ่ม Local Administrators คือกลุ่ม Builtin \ Administrators เมื่อคุณเลื่อนระดับเซิร์ฟเวอร์เป็น DC กลุ่มโลคัลจะถูกแปลงเป็นกลุ่ม Builtin ในโดเมน หากคุณดูในคอนเทนเนอร์ Bultin ใน ADUC คุณจะเห็นกลุ่มโดเมนที่เคยเป็นกลุ่มท้องถิ่น นอกจากนี้คุณหมายถึงอะไร "DC เคารพกลุ่มโดเมน" หรือไม่?
joeqwerty
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.