主域控上的本地策略和Default Domain Policy冲突|本地策略、域策略以及域控制器策略的区别。我的主DC上的本地策略是独立于默认域策略和默认域控策略的设置。我在默认域策略和默认域控策略禁止了密码复杂性策略，而修改主DC上本地策略启用了密码复杂性策略。可结果却是:域上所以的用户包括管理员和客户端账户都启用密码复杂性策略。反之亦然,就是以主DC上的本地安全策略为准。
我想正常情况下,DC上的本地安全策略应该跟从Default Domain Policy 或者Default Domain Control
Policy里的设置(并且相应部分的配制项应该是灰色的,不可修改的状态)
环境如下:主DC:win2003，2台额外域控:Win2k。
dcdiag /v 一切正常，策略更新并重新启动所有DC数次,并观察了几天。我的default domain policy 属性设置的为link enabled且enforced。但是发现主DC上本地安全策略仍旧为可编辑状态，并且当DC的本地安全策略(账号策略)与default domain policy冲突时以DC的本地安全策略为准.是否有什么故障?请问如何设置使DC本地安全策略遵从default domain policy中相应的策略

回答：首先，由于DC之间都是互相同步的，所以您修改了一台dc上的密码策略，它将会同步到域中其它所有dc。那么，您可以认为dc本地策略等同于 默认域控制器策略。
再者，由于域中所有用户都会登录到dc，从dc获取安全策略，那么修改dc上的密码复杂性策略，就有
可能影响到所有域账户。
为了避免理解岐义性，以及避免出现不可预测的情况，建议您在且只在域一级设置密码策略。
－－－gnaw0725

您可以使用Dcgpofix工具将默认组策略对象还原到它们的原始状态（即，初始安装之后的默认状态），该工具会将默认域策略和默认域控制器策略还原到它们安装之后的原始状态。运行 dcgpofix 之后，对这些组策略对象的任何更改都将丢失。所以，在运行该工具之前，请您使用GPMC备份原先的组策略对象。

使用 GPMC 备份组策略对象
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/a8e7d87a-762f-4ecf-bfe7-2c97e50a64e7.mspx?mfr=true

更多关于Dcgpofix工具的信息，您可以参考以下文章：
Dcgpofix
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/48872034-1907-4149-b6aa-9788d38209d2.mspx?mfr=true

Tom Zhang 张一平  微软全球技术支持中心

组策略更多文章请参考
组策略执行顺序优先级|到底哪个组策略最终生效活动目录域
组策略分发Office2003不成功|KB278472软件分发权限设置活动目录域
未能打开组策略对象您可能没有合适的权限|userenv10581030找不到网络 ...
组策略设置检查所存网页的较新版本|组策略adm模板生成器活动目录域
本地用户和组不见了|组策略管理单元受到策略限制gpedit.msc配置管理 ...
组策略启用域内客户端远程桌面|GroupPolicy enable or disable remote ...
http://www.googlesyndicatedsearch.com/u/blogbus?hl=zh-CN&inlang=zh-CN&newwindow=1&ie=GB2312&q=site%3Agnaw0725.blogbus.com+%D7%E9%B2%DF%C2%D4
－－－gnaw0725