Таким образом, они оба являются объектами, которые вы используете для организации других объектов. Вы можете добавлять пользователей, группы и компьютеры к ним обоим.
Подразделения содержат пользовательские объекты, группы имеют список пользовательских объектов.
Вы помещаете пользователя в группу, чтобы контролировать доступ этого пользователя к ресурсам. Вы помещаете пользователя в OU, чтобы контролировать, кто имеет административные полномочия над этим пользователем.
Они похожи на папки (OU) и файлы (группы) на файловом сервере (ваш AD): легче управлять разрешениями / ACL для целых папок, а не для отдельных файлов, и позволять применять их к файлам (группам) с помощью наследование автоматически. Эта аналогия подробно объясняется в Доступ запрещен: понимание разницы между подразделениями AD и группами:
[...] поскольку у пользователей и групп есть списки управления доступом, вы можете делегировать часть административных полномочий субадминистраторам. Но так же, как отдельно поддерживать ACL для каждого файла нецелесообразно, так и отдельно контролировать административные полномочия для каждого пользователя или объекта группы. Таким образом, вы можете собрать в OU всех пользователей и группы, которыми вы хотите разрешить управлять определенному субадминистратору, а затем предоставить ему соответствующие полномочия над OU. Полномочия, которые вы определяете в потоке ACL OU, передаются всем пользователям и группам в этом OU, точно так же, как списки ACL папок передаются всем файлам в папке.
Чтобы упростить работу с подразделениями и группами, помните, что пользователь может быть членом многих групп, но может находиться только в одном подразделении, точно так же, как файл может находиться только в одной папке.
Так что вы должны использовать их оба для разных целей.
Группы предназначены для предоставления доступа к данным, а организационные единицы (сокращенно OU) предназначены для организации и управления объектами (пользователями и компьютерами) посредством делегирования и настроек групповой политики.
Это зависит от вашей организационной фантазии. Как вы хотите логически организовать свою сеть.
Обычно подразделения используются для организации дерева активных каталогов и применения групповых политик.
Используйте группы для обеспечения безопасности, давая им разрешения на ресурсы, а затем добавляйте в них пользователей.