windows-server-2003 – 您何时需要Active Directory中的组织单

>保持清洁和结构.您的用户远离群组,您的群组远离计算机,站点A中的对象远离站点B中的对象,依此类推.
>控制权委派.只有在您拥有多个访问级别或每个具有不同管理员的多个站点时才真正需要.即便如此,我还是会提前计划并设置一些东西来启用它.
>组策略.并非完全必要,因为策略应用程序可以通过权限或WMI筛选器进行管理,但同样有助于了解如果用户在OU X中,则会获得策略Y.

请注意,在上面您不能将GPO应用于容器,因此如果您不创建OU,则必须将所有GPO设置为最高(域)级别,并使用WMI或安全性对其进行过滤.对于您和其他所有人来说,只使用OU更容易,除非您有使用OU模型无法完成(或者可以完成但是很麻烦)您需要/需要的特定策略的场景.

除了我最后两点中明显的技术要求之外,我认为保持干净整洁是合理的.例如,从列表100中找到所需对象比从1500列表中找到它更容易.它还会将您创建的对象(主要是用户,计算机和组)与内置对象分开,这有助于防止发生令人讨厌的事故(“好的,谁删除了管理员帐户？”).