所以他们都是你用来组织其他对象的对象。 您可以将用户,组和计算机添加到他们两个。
OU包含用户对象,组有一个用户对象列表。
您将一个用户放在一个组中来控制该用户对资源的访问。 您将一个用户置于一个OU中,以控制对该用户具有pipe理权限的人员。
它们就像文件服务器(您的AD)上的文件夹(OU)和文件(组):在整个文件夹(而不是单个文件)上pipe理权限/ ACL更容易,并且通过以下方式将它们应用于文件自动inheritance。 这个类比在访问被拒绝:了解AD OU和组之间的区别中有详细的解释:
因为用户和组拥有ACL,您可以将部分pipe理权限委托给子pipe理员。 但是,就像分开维护每个文件的ACL是不切实际的一样,所以单独控制每个用户或组对象上的pipe理权限。 因此,您可以收集所有想要启用特定的子pipe理员的用户和组,以便授予对该子pipe理员OU的适当权限。 您在OU的ACL中定义的权限向下stream向该OU中的所有用户和组,正如文件夹ACLstream向文件夹中的所有文件一样。
为了帮助你保持OU和组的直观,请记住,一个用户可以是多个组的成员,但只能驻留在一个OU中,就像一个文件只能驻留在一个文件夹中一样。
所以你应该用它们来做不同的事情。
通常使用OU来组织您的活动目录树并应用组策略。
使用组来获得资源的权限,然后添加用户。
用于授权访问数据的组和用于通过委托和组策略设置来组织和控制对象(用户和计算机)的组织单位(OU)。
这取决于你的组织幻想。 你想如何在逻辑上组织你的networking。