Сервер Windows. Разница между организационными единицами и группами? (Активный каталог)
Итак, они оба являются объектами, которые вы используете для организации других объектов. Вы можете добавлять пользователей, группы и компьютеры к ним обоим.
- В чем разница между ними?
- Как лучше всего разделить пользователей и компьютеры из разных отделов в компании (OU или Группы)?
Резюме:
OUs содержат объекты пользователей, группы имеют список объектов пользователей.
Вы помещаете пользователя в группу для управления доступом этого пользователя к ресурсам. Вы помещаете пользователя в OU для контроля над тем, кто имеет административные полномочия над этим пользователем.
Они похожи на папки (OU) и файлы (группы) на файловом сервере (вашем AD): проще управлять разрешениями/ACL на целые папки, а не на отдельные файлы, и позволять автоматически применять их к файлам (группам) по наследству. Эта аналогия подробно описана в Access Denied: Поймите разницу между AD OU и группами:
.[...] Поскольку пользователи и группы имеют ACL, вы можете делегировать часть административных полномочий субадминистраторам. Но, точно так же, как раздельное ведение ACL каждого файла является непрактичным, так и раздельное управление административными полномочиями для каждого пользователя или группы объектов. Поэтому в OU можно собрать всех пользователей и группы, которыми вы хотите разрешить управлять конкретному субадминистратору, а затем передать этому субадминистратору соответствующие полномочия над OU. Полномочия, которые Вы определяете в ACL-потоке OU, распространяются на всех пользователей и группы в этой OU, точно так же, как и папки ACL стекают по всем файлам в папке.
Различия:
- Вы можете связать политики групп с OUs, но не с группами
- Вы можете дать разрешения на доступ к файлам/папкам/обмену группами, но не OUs
- Группы имеют SID, OUs не
Рекомендации:
- Вы должны использовать OUs для организации Active Directory, чтобы было проще управлять (например, делегировать административный контроль над пользователями и группами другим администраторам)
- Вы должны использовать группы для предоставления прав на ресурсы (например, права на чтение ресурса общего пользования на файловом сервере)
- С связанного ресурса:
Чтобы помочь вам сохранить OU и группы в целости и сохранности, помните, что пользователь может быть членом многих групп, но может находиться только в одной OU, точно так же, как файл может находиться только в одной папке.
Поэтому вы должны использовать их обе для разных целей.
Обычно используйте OUs для организации дерева активной директории и применения групповых политик.
Используйте группы для безопасности, давая им разрешения на ресурсы, а затем добавляйте к ним пользователей
.Группы предназначены для предоставления доступа к данным, а организационные единицы (OU для краткости) - для организации и управления объектами (пользователями и компьютерами) через настройки делегирования и групповой политики.
Это зависит от вашей организационной фантазии. Как вы хотите логически организовать свою сеть.