■

對于技術素養(yǎng)不菲的很多管理員，活動目錄（AD）中的Group（組）與OU（組織單元，organizationl unit）從概念上很少會混淆，但筆者發(fā)現(xiàn)在現(xiàn)實工作中遇到具體問題需要解決時，有不少人卻往往忽視了二者的界限，從而導致不能迅速徹底地解決燃眉之急。

在Windows 2000之前的Windows NT中，并沒有OU，當時雖然已經(jīng)有了Group，但其選項比今天要少很多。在Windows NT中有兩種Groups，一種是 Global Groups（全局組），另一種是Local Groups（局 部 組）。Global Groups來自并存在于域控制器 DC（domain controllers），它對于域至關重要，因為它具有便于系統(tǒng)跟蹤的安全標志SID（security identifier）。

在這一點上，Local Groups也很近似，它同樣具有可供系統(tǒng)跟蹤的SID，不過它除了可以在DC生成，也可以在工作站或服務器生成。二者主要區(qū)別在于，Global Groups可以被域內所有工作站和服務器看到，而Local Groups僅能被DC看到。另外，如果是從工作站或服務器生成的Local Groups也只能在本地機看到。

我們不難想見，較為常規(guī)的配置是，用戶將會加入到Global Groups，存放資源（文件夾，文件等）置于Local Groups中，更具體地，它通常是DC本身或者存放著公司業(yè)務數(shù)據(jù)的Server。

活 動 目 錄AD（Active Directory）帶來的變化是重要的，隨之而來的是出現(xiàn)了一種新的對象類型：OU（organizational unit）。AD和OU豐富了Group的類型，它們彼此不可互換，但又彼此相互聯(lián)系。AD Group當然是一種Global Group，但它可以包含其他的Global Groups，這在之前的Windows NT是根本不可能的。其實，在AD中還有另一種域組為 Universal Group（統(tǒng)一組），其主要目的在于突破域間的限制，它可以被Forest（林）中所有域都看到。

活動目錄的問世，改變了Local Groups的歷史，代之以Domain Local Groups，這種變化具有革命意義，因為DC對Local Groups的直轄迫使工作站服務器上的Local Groups必須加入到域中。AD所帶來的全新的Groups模式形成了這樣的“生態(tài)”：用戶users需要放入Global Groups，Global Groups需要放入Domain Local Groups，而Domain Local Groups需要放入存放在服務器上的訪問控制列表內；假如存在多個域，那么包含users的Global Groups就需要放入 Universal Groups，之后Universal Groups就會被放入Domain Local Groups，該Domain Local Groups就會出現(xiàn)在訪問控制列表內。

反觀OUs與Groups具有諸多不同，例如 ：OUs并沒有 SIDs，不能放入訪問控制列表，也不能放進Group。既然OUs有很多“不行”，那么它的價值何在呢？

OUs的本職在于組織AD中的對象（Objects），可以授權對其內部對象的管理和部署組策略設置。簡言之，Groups旨在對數(shù)據(jù)的訪問準許，OUs主要實現(xiàn)對其對象的控制（體現(xiàn)為組策略設置）。