概括：

Question 1

概括：

OU 包含用户对象，组包含用户对象列表。

您可以将用户放入某个组中，以控制该用户对资源的访问权限。您可以将用户放入某个 OU 中，以控制谁对该用户拥有管理权限。

它们就像文件服务器（您的 AD）上的文件夹（OU）和文件（组）：管理整个文件夹而不是单个文件的权限/ACL 更容易，并让它们通过继承自动应用于文件（组）。这个类比在拒绝访问：了解 AD OU 和组之间的区别：

[...] 因为用户和组都有 ACL，所以您可以将部分管理权限委托给子管理员。但是，单独维护每个文件的 ACL 是不切实际的，单独控制每个用户或组对象的管理权限也是不切实际的。因此，您可以将所有要让特定子管理员管理的用户和组收集到一个 OU 中，然后将该 OU 的适当权限授予该子管理员。您在 OU 的 ACL 中定义的权限会向下流向该 OU 中的所有用户和组，就像文件夹 ACL 向下流向文件夹中的所有文件一样。

差异：

您可以将组策略链接到 OU，但不能链接到组
您可以向组授予文件/文件夹/共享权限，但不能向 OU 授予权限
组有 SID，OU 没有

建议：

您应该使用 OU 来组织您的 Active Directory，以便于管理（例如将用户和组的管理控制权委托给其他管理员）
您应该使用组来授予资源权限（例如，文件服务器上共享的读取权限）
来自链接的资源：

为了帮助您区分 OU 和组，请记住，用户可以是多个组的成员，但只能驻留在一个 OU 中，就像文件只能驻留在一个文件夹中一样。

所以你应该用它们来做不同的事情。

Answer

概括：

OU 包含用户对象，组包含用户对象列表。

您可以将用户放入某个组中，以控制该用户对资源的访问权限。您可以将用户放入某个 OU 中，以控制谁对该用户拥有管理权限。

它们就像文件服务器（您的 AD）上的文件夹（OU）和文件（组）：管理整个文件夹而不是单个文件的权限/ACL 更容易，并让它们通过继承自动应用于文件（组）。这个类比在拒绝访问：了解 AD OU 和组之间的区别：

[...] 因为用户和组都有 ACL，所以您可以将部分管理权限委托给子管理员。但是，单独维护每个文件的 ACL 是不切实际的，单独控制每个用户或组对象的管理权限也是不切实际的。因此，您可以将所有要让特定子管理员管理的用户和组收集到一个 OU 中，然后将该 OU 的适当权限授予该子管理员。您在 OU 的 ACL 中定义的权限会向下流向该 OU 中的所有用户和组，就像文件夹 ACL 向下流向文件夹中的所有文件一样。

差异：

您可以将组策略链接到 OU，但不能链接到组
您可以向组授予文件/文件夹/共享权限，但不能向 OU 授予权限
组有 SID，OU 没有

建议：

您应该使用 OU 来组织您的 Active Directory，以便于管理（例如将用户和组的管理控制权委托给其他管理员）
您应该使用组来授予资源权限（例如，文件服务器上共享的读取权限）
来自链接的资源：

为了帮助您区分 OU 和组，请记住，用户可以是多个组的成员，但只能驻留在一个 OU 中，就像文件只能驻留在一个文件夹中一样。

所以你应该用它们来做不同的事情。

Question 2

通常使用 OU 来组织您的活动目录树并应用组策略。

使用组来保证安全，通过向组授予资源权限，然后向其中添加用户。

Answer

通常使用 OU 来组织您的活动目录树并应用组策略。

使用组来保证安全，通过向组授予资源权限，然后向其中添加用户。

Question 3

组用于授予数据访问权限，组织单位（简称 OU）用于通过委派和组策略设置来组织和控制对象（用户和计算机）。
这取决于你的组织喜好。你想如何逻辑地组织你的网络。

Answer

组用于授予数据访问权限，组织单位（简称 OU）用于通过委派和组策略设置来组织和控制对象（用户和计算机）。
这取决于你的组织喜好。你想如何逻辑地组织你的网络。

概括：

答案1

概括：

差异：

建议：

答案2

答案3

相关内容