В LDAP это лучше всего группам вложенного множества под организационными единицами, или создайте организационную единицу непосредственно под корнем dn только для групп?
Согласно Руководство по проектированию AD, при проектировании вашей структуры необходимо учитывать 2 вещи: 1) делегирование административного контроля и 2) групповые политики.
Поскольку групповые политики не применяются к группам, в основном остается одно - делегирование административного контроля. Ваша модель B дает возможность выполнять локальное делегирование административных задач в каждой школе, что, возможно, вы реализуете, так что я бы пошел на это.
I '
Я думаю, что было бы лучше сохранить все группы, которые содержат участников только из одной школы в рамках одного организационного подразделения, и имеют отдельное подразделение в корне для межшкольных групп. Это поможет в управлении вашей AD в долгосрочной перспективе.