MSは、GUIツールから「ローカルユーザーとグループ」を削除するために多大な労力を費やしており、lusrmgr.mscを直接くすぐったとしても、スナップインがドメインコントローラーで実行されないことを訴えます。
問題は、「なぜそうでないのか」です。 DCがローカルセキュリティグループを持つことはなぜ意味がないのですか?
つまり、「ローカルユーザー」が「ドメインユーザー」になります。 Microsoftは、1台のコンピューターに対して1つの認証リポジトリのみを許可することを選択しました。コンピューターをドメインコントローラーに昇格させると、ローカル認証リポジトリを使用してドメインアカウントが格納されます。ローカルユーザー/グループ/その他のセットがなくなったため、ドメインユーザーとアカウントのみが残ります。正直なところ、ドメインコントローラに "ローカル"ユーザーがいると、そもそもドメインコントローラを置く目的が完全に無効になります。