Итак, они оба являются объектами, которые вы используете для организации других объектов. Вы можете добавлять пользователей, группы и компьютеры к ним обоим.
OUs содержат объекты пользователей, группы имеют список объектов пользователей.
Вы помещаете пользователя в группу для управления доступом этого пользователя к ресурсам. Вы помещаете пользователя в OU для контроля над тем, кто имеет административные полномочия над этим пользователем.
Они похожи на папки (OU) и файлы (группы) на файловом сервере (вашем AD): проще управлять разрешениями/ACL на целые папки, а не на отдельные файлы, и позволять автоматически применять их к файлам (группам) по наследству. Эта аналогия подробно описана в Access Denied: Поймите разницу между AD OU и группами:
.[...] Поскольку пользователи и группы имеют ACL, вы можете делегировать часть административных полномочий субадминистраторам. Но, точно так же, как раздельное ведение ACL каждого файла является непрактичным, так и раздельное управление административными полномочиями для каждого пользователя или группы объектов. Поэтому в OU можно собрать всех пользователей и группы, которыми вы хотите разрешить управлять конкретному субадминистратору, а затем передать этому субадминистратору соответствующие полномочия над OU. Полномочия, которые Вы определяете в ACL-потоке OU, распространяются на всех пользователей и группы в этой OU, точно так же, как и папки ACL стекают по всем файлам в папке.
Чтобы помочь вам сохранить OU и группы в целости и сохранности, помните, что пользователь может быть членом многих групп, но может находиться только в одной OU, точно так же, как файл может находиться только в одной папке.
Поэтому вы должны использовать их обе для разных целей.
Обычно используйте OUs для организации дерева активной директории и применения групповых политик.
Используйте группы для безопасности, давая им разрешения на ресурсы, а затем добавляйте к ним пользователей
.Группы предназначены для предоставления доступа к данным, а организационные единицы (OU для краткости) - для организации и управления объектами (пользователями и компьютерами) через настройки делегирования и групповой политики.
Это зависит от вашей организационной фантазии. Как вы хотите логически организовать свою сеть.