本地策略 域控制器策略 域安全策略

　在winxp中，單擊「控制面板→性能和維護→管理工具→本地安全策略」後，會進入「本地安全策略」的主界面。在此可

經過菜單欄上的命令設置各類本地安全策略。 在WIN2003中，升域後在「控制面板→管理工具」中能夠看到域控制器安全

策略和域安全策略。

「域控制器安全策略」與「域安全策略」的區別在於，「域控制器安全策略」做用於「域控制器」這個組織單元上（相對

於整個計算機來講，是它的一個小部門），而「域安全策略」則做用於整個域，也就是整個計算機上。
域安全策略是針對整個域內的全部計算機的,域控制器安全策略只針對域控制器.對域控制器來講，域控制器安全策略優先

於域安全策略 。

咱們在設置前，要弄清楚「域安全策略」和「域控制器安全策略」的做用範圍，以及他們做用的前後順序。

當一臺計算機處於域模式，就會採用域策略。域對於獨立的計算機而言，就是計算機自己。域策略屬於計算機策略。

計算機的策略大致上分爲四類，他們分別是本地策略，域策略，站點策略以及ou策略。起做用的前後順序爲local policy

（本地）——〉site policy（站點）——〉domain policy（域）——〉ou policy。

一臺處於工做組模式的計算機只會執行本地安全策略，而dc（domain controller)則至少要執行本地安全策略，域安全策

略，域控制器安全策略三個策略，換言之，處於域模式的計算機要執行多條策略，那麼就要有相應的措施保證策略不衝突

。默認狀況下，當多條策略之間不產生衝突的時候，多條策略之間是merge的關係，即和並執行；但當產生衝突的時候，後

執行的策略會替代先執行的策略。

域控制器安全策略屬於ou策略的一種。而域控制器安全策略僅僅做用在domain controller 這個組織單元（ou)上,他並不

與域安全策略衝突，當他們和並執行時，因爲域安全策略後於本地安全策略執行，且域控制器安全策略爲「未定義」因此

將執行域安全策略.