サーバーのローカルユーザーグループからドメインユーザーグループを削除する方が安全ですか？

変更を完全にテストしたことが絶対に確実でない限り、メンバーサーバーコンピューターのローカルの「Users」グループから「DOMAIN\DomainUsers」のデフォルトのネストを削除しません。 Webベースのアプリケーションをホストしているアプリケーションの場合は、問題ない場合があります。ただし、そのアプリケーションがユーザーを認証し、ドメインアカウントになりすます場合は、トラブルシューティングの悪夢の世界に身を置く可能性があります。しかし、これを知ることができるのはあなただけです。

これを行うことでデフォルト構成から移行します。私の経験では、Microsoftは製品のデフォルトの動作に基づいてドキュメントを作成することがよくあります（また、多くのサポートリソースは、デフォルトの仮定に基づいてトラブルシューティングを実行します）。

個人的には、「DOMAIN\DomainUsers」が「Users」のメンバーであることに害はないと思います。私はそれを「セキュリティ違反」とは見ていません。 Microsoftは、最近のバージョンのWindowsで、「ユーザー」グループに特権がないことを確認するために細心の注意を払っています。このメンバーシップは、リモートデスクトップ機能、「管理」ファイル共有へのアクセス機能、レジストリへのリモートアクセス機能などをメンバーに付与しません。

このような変更をテストし、変更に直面しても環境が適切に機能することを確認する責任はあなたにあります。適切なパスワードポリシー、適切なIDS/IPSシステム、適切に監査されたファイアウォールルール、適切なパッチアプリケーションと検証方法、およびWebアプリケーションの脆弱性テストを確認するために時間を費やしたほうがよいと思います。このグループのネストは、セキュリティの優先順位のリストでは高くありません。

デフォルトでは、PCをドメインに参加させると、ドメインユーザーグループがローカルユーザーグループに配置されます。 GPOを使用して、これを削除できます...または、グループから削除できます。ドメインユーザーがこのマシンにアクセスできないようにする必要がある場合、本当の理由はありません。このように設定します。