Назад | Перейти на главную страницу

Сервер Windows. Разница между организационными единицами и группами? (Активный каталог)

Таким образом, они оба являются объектами, которые вы используете для организации других объектов. Вы можете добавлять пользователей, группы и компьютеры к ним обоим.

  1. В чем разница между ними?
  2. Как лучше всего разделить пользователей и компьютеры из разных отделов компании (OU или Группы)?

Резюме:

Подразделения содержат пользовательские объекты, группы имеют список пользовательских объектов.

Вы помещаете пользователя в группу, чтобы контролировать доступ этого пользователя к ресурсам. Вы помещаете пользователя в OU, чтобы контролировать, кто имеет административные полномочия над этим пользователем.

Они похожи на папки (OU) и файлы (группы) на файловом сервере (ваш AD): легче управлять разрешениями / ACL для целых папок, а не для отдельных файлов, и позволять применять их к файлам (группам) с помощью наследование автоматически. Эта аналогия подробно объясняется в Доступ запрещен: понимание разницы между подразделениями AD и группами:

[...] поскольку у пользователей и групп есть списки управления доступом, вы можете делегировать часть административных полномочий субадминистраторам. Но так же, как отдельно поддерживать ACL для каждого файла нецелесообразно, так и отдельно контролировать административные полномочия для каждого пользователя или объекта группы. Таким образом, вы можете собрать в OU всех пользователей и группы, которыми вы хотите разрешить управлять определенному субадминистратору, а затем предоставить ему соответствующие полномочия над OU. Полномочия, которые вы определяете в потоке ACL OU, передаются всем пользователям и группам в этом OU, точно так же, как списки ACL папок передаются всем файлам в папке.

Отличия:

  • Вы можете связать групповые политики с подразделениями, но не с группами
  • Вы можете предоставить права доступа к файлам / папкам / общедоступным ресурсам группам, но не подразделениям
  • У групп есть SID, у OU - нет.

Рекомендации:

  • Вы должны использовать подразделения для организации своей Active Directory, чтобы им было легче управлять (например, чтобы делегировать административный контроль над пользователями и группами другим администраторам)
  • Вы должны использовать группы, чтобы давать разрешения на ресурсы (например, разрешения на чтение общего ресурса на файловом сервере)
  • Со связанного ресурса:

    Чтобы упростить работу с подразделениями и группами, помните, что пользователь может быть членом многих групп, но может находиться только в одном подразделении, точно так же, как файл может находиться только в одной папке.

Так что вы должны использовать их оба для разных целей.

  1. Группы предназначены для предоставления доступа к данным, а организационные единицы (сокращенно OU) предназначены для организации и управления объектами (пользователями и компьютерами) посредством делегирования и настроек групповой политики.

  2. Это зависит от вашей организационной фантазии. Как вы хотите логически организовать свою сеть.

Обычно подразделения используются для организации дерева активных каталогов и применения групповых политик.

Используйте группы для обеспечения безопасности, давая им разрешения на ресурсы, а затем добавляйте в них пользователей.