一、域控制器安全策略区别详解

策略大体上分为4类，即本地策略，域策略，站点策略，ou策略，他们的作用顺序：local policy——〉site policy——〉domain policy——〉ou policy

本地安全策略是本地策略的一部分，在开机的时后就会被执行，无论你是否处于工作组模式还是域模式.

域安全策略是domain policy的一部分，domain policy的作用范围是整个域，因此一台计算机只要处于域模式，就会采用域策略site的策略一般只在site之间有慢速连接的时候才会使用它，所以微软没有内置站点策略，需要管理员手工设置.

DC安全策略是OU策略的一种，ou策略仅作用在ou下,因为dc安全策略是作用在domain controller这个ou上，所以把他们称作dc安全策略，而domain controller这个ou下默认存储的就是域内的所有dc，因此dc安全策略仅作用在dc之上，当然，如果你手工将一个计算机账号移入dc ou，则那台计算机也会执行dc安全策略。

也就是说，一台处于工作组模式的计算机只会执行本地安全策略，而dc则至少要执行本地安全策略，域安全策略，域控制器安全策略三个策略，换言之，处于域模式的计算机要执行多条策略，那么就要有相应的措施保证策略不冲突。

默认情况下，当多条策略之间不产生冲突的时候，多条策略之间是merge的关系，即和并执行；但当产生冲突的时候，后执行的策略会替代先执行的策略。

也就是说无论在何种情况下，ou设置的策略都会生效一条策略又可以分为计算机策略和用户策略，计算机策略作用在计算机上，用户策略作用在用户对象上，当同一条策略的计算机策略和用户策略产生冲突的时候，以计算机策略为准,那么接下来又会有问题，一个用户a属于sales ou，而一个计算机账号b属于marketing ou，并且在这两个ou上分别设定有ou的策略，那么这个时候，如果用户a到b上进行登陆会出现什么样的情况呢。

默认情况下，用户a身上作用的是sales ou user policy而计算机b上作用的则是marketing ou computer policy，这显然是管理员不希望看到的情况，因为这样存在安全的隐患，在这种情况下用户策略有可能盖过计算机策略。所以此时又提出了另外一个概念，loopback模式，loopback模式又划分为两类，第一重视replace，即强制用户a采用marketing ou users policy，忽略a所在ou的sales ou users policy，另一种是采用merge模式，即将marketing ou users policy 和 sales ou users policy和并执行，当产生冲突的时候以marketing ou policy 为准，通过这种方式，保证了用户策略不会盖过计算机策略，从而避免了安全隐患。此外，策略还有继承和阻挡等设置.

二、域安全策略与域控制器安全策略有什么异同

两者都可以在域控制器上利用系统管理员身份登录后设置域安全策略，域安全策略管理属于该域内的所有计算机但是域控制器是管理单位内所有的域控制器而不是计算机，域安全策略是优先于计算机策略但低于域控制器安全策略的，当域安全策略改变时要应用到计算机才有效而域控制器安全策略不受影响。

1.域安全策略：

•可以在域控制器上利用系统管理员身份登录后设置域安全策略，具体设置方式与本地安全策略的设置相同。

•隶属于域的任何一台计算机，都会受到域安全策略的影响。

•隶属于域的计算机，如果其本地安全策略设置与域安全策略设置发生冲突，则以域安全策略设置优先，本地设置自动失效。

•当域安全策略的设置发生了变化，这些策略必须应用到本地计算机后才能对本地计算机有效。

2.域控制器安全策略：

•可以在域控制器上利用系统管理员身份登录后设置域控制器安全策略，其设置方法与域安全策略和本地安全策略相同。

•任何一台位于组织单位域控制器内的域控制器，都会受到域控制器安全策略的影响。

•域控制器安全策略的设置必须要应用到域控制器后，这些设置对域控制器才起作用。域控制器安全策略与域安全策略的设置发生冲突时，对于域控制器容器内的计算机来说，默认以域控制器安全策略的设置优先，域安全策略自动失效。

•域安全策略中的账户策略设置对域内所有的用户都有效，即使用户账户位于组织单位域控制器内也有效，也就是说，域控制器安全策略中的账户策略对域控制器并不起作用。