Windows Server安全策略与组策略之间的关系

个人记录
由QAX A-TEAM群中的一个问题开始的

假如现在我们有这么一个需求，让用户A可以通过RDP远程访问机器B。那么实践方案有这么几种。
1、 将用户A拉进本地(机器B)管理员或者域管组或者本地(机器B)的Remote Desktop User组里面。
	这一步是通过修改用户A的组身份来修改的。可以直接修改或者通过域的组策略。测试成功
	//域管理员和普通域用户A在b机器中的本地管理员、A在b机器中的RDU组，这3个情况是可以远程桌面的
2、 修改机器B的本地安全策略，允许用户A远程登录，或者用户A所在的组远程登录。
	这一步可以直接修改机器B的本地安全策略，或者通过域的组策略。测试失败

• 上面的第一步是成功的,第二部失败
  A-team成员解答如下:

http://www.splaybow.com/post/windowsserver-strategy.html
作为运维人员，与组策略总是脱不开关系的，运维又不可避免地要用到安全策略，当我们打开组策略的时候，是可以看到安全策略的。
组策略（Group Policy）是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。
Windows Server安全策略与组策略之间的区别与联系为：
安全策略包括：

1. 本地安全策略
2. 域安全策略
3. 域控制器安全策略
   组策略包括：
4. 本地组策略
5. 域组策略
6. 域控制器组策略
   安全策略的应用顺序：
   本地安全策略和域安全策略冲突时，域安全策略生效。
   域安全策略和域控制器安全策略冲突时，域控制器安全策略生效。
   组策略应用顺序：
   组策略应用LSDOU(指：本地组策略;站点组策略;域组策略;组织单元组策略)生效顺序。先应用本地组策略，再应用站点组策略，其次应用域组策略，最后应用组织单元组策略。要特别注意的是，最后生效的策略会覆盖前面的策略。
   提示：域控制器安全策略和域控制器组策略仅对域控制器生效。
   安全策略与组策略的关系：
7. 安全策略是包含在组策略里面的，是组策略的一部分。换句话说，组策略就包括了安全策略。
8. 在域控制器上是没有本地安全策略的，但有本地组策略。
9. 如果设置了域组策略，那么，本地组策略将被强制使用域组策略，同时，本地组策略的所有选项将不能使用。
10. 由于安全策略包含在组策略中，那么，如果设置了安全策略，相应的组策略会同时改变。反之，如果设置了组策略，相应的安全策略也会跟着改变。
11. 在组策略中，当计算机配置和用户配置相冲突时，以计算机配置为主。
    搞清楚Windows Server安全策略与组策略之间的区别和联系对大家来说好处多多，其实不光是对运维有用，对于个人使用PC机的时候也是可以用到的，组策略打开命令：运行 gpedit.msc