它们就像文件服务器(您的 AD)上的文件夹(OU)和文件(组):管理整个文件夹而不是单个文件的权限/ACL 更容易,并让它们通过以下方式应用于文件(组)自动继承。拒绝访问:了解 AD OU 和组之间的区别中详细解释了这个类比:
[...] 因为用户和组具有 ACL,您可以将部分管理权限委派给子管理员。但是,正如单独维护每个文件的 ACL 是不切实际的,单独控制每个用户或组对象的管理权限也是如此。因此,您可以将您希望允许特定子管理员管理的所有用户和组收集到一个 OU 中,然后将对该 OU 的适当权限授予该子管理员。您在 OU 的 ACL 中定义的权限会向下流向该 OU 中的所有用户和组,就像文件夹 ACL 向下流向文件夹中的所有文件一样。
差异:
您可以将组策略链接到 OU,但不能链接到组
您可以将文件/文件夹/共享权限授予组,但不能授予 OU
组有 SID,OU 没有
建议:
您应该使用 OU 来组织您的 Active Directory,以便更易于管理(例如,将对用户和组的管理控制权委托给其他管理员)
您应该使用组来授予资源权限(例如文件服务器上共享的读取权限)
从链接的资源:
为了帮助您保持 OU 和组的正确性,请记住,用户可以是多个组的成员,但只能驻留在一个 OU 中,就像文件只能驻留在一个文件夹中一样。
概括:
OU 包含用户对象,组具有用户对象列表。
它们就像文件服务器(您的 AD)上的文件夹(OU)和文件(组):管理整个文件夹而不是单个文件的权限/ACL 更容易,并让它们通过以下方式应用于文件(组)自动继承。拒绝访问:了解 AD OU 和组之间的区别中详细解释了这个类比:
差异:
建议:
所以你应该用它们来做不同的事情。
通常使用 OU 来组织您的活动目录树并应用组策略。
通过授予他们对资源的权限来使用组以确保安全,然后将用户添加到其中。
组用于授予对数据的访问权限,组织单位(简称 OU)用于通过委派和组策略设置来组织和控制对象(用户和计算机)。
这取决于你的组织幻想。您希望如何从逻辑上组织您的网络。