Active Directory OU 和组之间的区别

正如文件从其父文件夹继承权限一样，在 Active Directory 中，用户和组对象具有自己的访问控制列表 (ACL)，用于确定谁可以查看或编辑其属性。与其单独控制每个用户或组对象的管理权限，不如将它们收集到 OU 中并向该 OU 的子管理员授予必要的权限。 OU 的 ACL 中定义的权限将影响该 OU 内的所有用户和组，类似于文件夹 ACL 应用于文件夹内的所有文件的方式。值得注意的是，一个用户可以是多个组的成员，但只能驻留在一个 OU 中，就像文件只能位于一个文件夹中一样。 OU 在有效管理 Active Directory 中的用户和计算机方面的重要性怎么强调也不为过。在本指南中，我们将探索 OU 的基本最佳实践，并解释它们与组和默认容器的不同之处。

什么是 Active Directory 组？

Active Directory (AD) 组是 Microsoft Active Directory 服务的组成部分，是 Windows 网络环境中的关键组件。这些组在资源管理和访问控制中发挥着关键作用。存在两种主要类型：安全组，管理用户和计算机对共享资源的访问；分发组，在没有安全相关权限的情况下促进电子邮件分发。

组可以包括用户和计算机，从而实现简化的权限和访问控制。支持嵌套，允许组成为其他组的成员，从而形成有效管理的层次结构。组织单位 (OU) 进一步帮助在 Active Directory 层次结构中组织组。

组范围定义了它们的范围：本地域仅限于特定域，全局扩展到 Active Directory 林中的任何域，通用涵盖林中的任何域。 Active Directory 组与组策略对象 (GPO) 协同作用，以跨网络实施策略，根据组成员身份应用策略。

从本质上讲，Active Directory 组提供了一种灵活高效的方法来组织和管理网络环境中的用户、计算机和资源，从而简化权限分配和策略应用。

什么是 Active Directory 组织单位 (OU)？

Active Directory 由域组成，这些域由域控制器管理。域可以组织成具有信任关系的树，树可以形成更大的森林。组织单位 (OU) 是 Active Directory 中的最小单位，允许管理员定义特定的组策略设置和委派的管理权限。 OU 可以包含用户、计算机、组和其他 OU。它们用于委派管理，允许管理员限制对特定 OU 的控制，以及管理组策略、将设置应用到 Active Directory 的特定部分。

组织单位 (OU) 有助于将组策略设置应用于域中的特定用户、组和计算机。当不同的 IT 团队管理域内不同的子组织时，它们特别有用。创建单独的 OU 允许每个 IT 团队为其单位内的用户和计算机管理自己的策略。 OU 还允许将管理任务委派给用户或组，而无需授予他们完全的管理员权限。

可以通过组织单位 (OU) 委派各种常见的管理任务。这些任务包括通过创建或删除用户帐户来管理用户、管理组、修改组成员身份、管理组策略链接以及重置用户帐户的密码。通过将这些任务分配给特定的 OU，可以在组织内有效地分配管理职责。

如何创建组织单位？

在 Active Directory 中创建新组织单位的方法有多种，包括通过 Active Directory 管理中心、Windows Server Manager 或远程服务器管理工具 (RSAT)。您还可以使用 PowerShell cmdlet New-ADOrganizationalUnit，但是，通过可视化界面创建和管理 OU 通常更容易，以确保结构正确。

OU 和组之间的区别

最初，组织单位和组看起来很相似，因为它们都通过对用户帐户或设备帐户等类似对象进行分组来为 Active Directory 提供结构。然而，在实践中，组织单位和 AD 组有不同的目的。组织单位用于委派管理权限并应用组策略设置，而组用于管理权限。例如，文件服务器上的 NTFS 权限和共享权限或 Exchange 中的邮箱权限可以通过组进行控制。此外，Active Directory 组成员身份可以确定对第三方应用程序和资源的访问。

以下是 Active Directory 组和组织单位之间的一些主要区别：

• 组织单位可以包含组策略对象 (GPO)，而 AD 组则不能。
• 组织部门可以委派管理员权限，但 AD 组不能。
• AD 组可以管理权限，而组织单位则不能。
• AD 组拥有自己的安全标识符 (SID)，而组织单位则没有。

组织单元和容器的区别

设置 Active Directory 时，Windows 会自动生成默认容器来存储用户、计算机和其他对象。这些容器与组织单位 (OU) 具有类似的用途，组织单位实际上是一种容器。但是，有一个关键区别：组策略对象只能应用于 OU，而不能应用于容器。因此，通常建议将 AD 中的默认容器替换为您自己的 OU，以管理用户和计算机帐户。借助这些 OU，您可以有效管理应用于网络中所有帐户或设备的全局策略。为了确保在 OU 而不是默认容器中创建新帐户，您可以使用 redirusr 和 redircmp 命令重定向帐户创建。

Azure AD 中的组织单位？

Azure Active Directory 使用管理单位 (AU)，而不是使用组织单位。与 OU 类似，管理单元可以容纳用户、设备和组，但不能包含其他管理单元。 AU 允许向用户分配特定的管理角色，这些角色仅限于管理单元内的对象。与组织单位不同，管理单位不支持组策略对象，因为 Azure AD 没有 GPO。

组织部门最佳实践

以下是使用组织单位时应遵循的一些最值得注意的最佳实践：

构建逻辑框架

管理员可以通过将用户和计算机分组到组织单位 (OU) 来安排域。所需 OU 的数量和结构取决于特定的 IT 环境和要求。构建和嵌套 OU 的方法有很多种，但找到一种有效的结构并坚持下去至关重要。与基于角色的访问控制类似，许多企业设计其组织单位以使其与公司结构保持一致，为不同的办公室和部门创建单独的组织单位。然而，并不强制遵循这种方法。规划 OU 时的主要考虑因素是确定 Active Directory 的哪些部分需要委派管理或独特的组策略。例如，根据设备类型（例如台式机与笔记本电脑）划分计算机帐户以对每个帐户应用不同的配置可能是有益的。

独立的用户和计算机

鉴于大多数组织将不同的组策略设置应用于用户和计算机帐户，因此将这些对象放置在单独的 OU 中以便于管理是合乎逻辑的。这些 OU 可以为所有用户/计算机帐户建立全局设置，而嵌套 OU 可以根据规划的 OU 结构定义特定规则。

使用一致的命名约定

为了便于长期维护和管理，OU 必须具有清晰的名称（可能还有描述），以清楚地表明其目的和范围。此外，所有管理员都应遵循相同的命名方法。不一致的情况（例如一位管理员根据部门命名 OU，另一位管理员根据职位命名 OU）可能会导致混乱。记录一致的命名约定是强制一致性的最简单方法。

使用继承进行组策略分配

虽然 OU 允许管理员为 Active Directory 的不同部分创建不同的规则，但大多数组织都具有适用于所有用户和设备的通用设置。继承是确保全局配置应用于所有帐户的有效方法。通过将具有这些核心设置的组策略对象放置在父 OU 中，嵌套 OU 可以管理 Active Directory 子部分的特定设置。

使用嵌套 OU 处理异常

嵌套 OU 不仅可以扩展继承的组策略，还可以在必要时允许策略覆盖。例如，出于安全原因，组织可以使用组策略在 10 分钟不活动后自动锁定屏幕。但是，这样做可能会在会议室中进行演示和视频通话时出现问题。解决方案是在现有 OU 内为会议室计算机创建一个新 OU，并应用具有延长时间限制的新组策略对象。这些设备仍然从其父 OU 继承相关设置，但不需要的设置将被新策略覆盖。