■

对于技术素养不菲的很多管理员，活动目录（AD）中的Group（组）与OU（组织单元，organizationl unit）从概念上很少会混淆，但笔者发现在现实工作中遇到具体问题需要解决时，有不少人却往往忽视了二者的界限，从而导致不能迅速彻底地解决燃眉之急。

在Windows 2000之前的Windows NT中，并没有OU，当时虽然已经有了Group，但其选项比今天要少很多。在Windows NT中有两种Groups，一种是 Global Groups（全局组），另一种是Local Groups（局 部 组）。Global Groups来自并存在于域控制器 DC（domain controllers），它对于域至关重要，因为它具有便于系统跟踪的安全标志SID（security identifier）。

在这一点上，Local Groups也很近似，它同样具有可供系统跟踪的SID，不过它除了可以在DC生成，也可以在工作站或服务器生成。二者主要区别在于，Global Groups可以被域内所有工作站和服务器看到，而Local Groups仅能被DC看到。另外，如果是从工作站或服务器生成的Local Groups也只能在本地机看到。

我们不难想见，较为常规的配置是，用户将会加入到Global Groups，存放资源（文件夹，文件等）置于Local Groups中，更具体地，它通常是DC本身或者存放着公司业务数据的Server。

活 动 目 录AD（Active Directory）带来的变化是重要的，随之而来的是出现了一种新的对象类型：OU（organizational unit）。AD和OU丰富了Group的类型，它们彼此不可互换，但又彼此相互联系。AD Group当然是一种Global Group，但它可以包含其他的Global Groups，这在之前的Windows NT是根本不可能的。其实，在AD中还有另一种域组为 Universal Group（统一组），其主要目的在于突破域间的限制，它可以被Forest（林）中所有域都看到。

活动目录的问世，改变了Local Groups的历史，代之以Domain Local Groups，这种变化具有革命意义，因为DC对Local Groups的直辖迫使工作站服务器上的Local Groups必须加入到域中。AD所带来的全新的Groups模式形成了这样的“生态”：用户users需要放入Global Groups，Global Groups需要放入Domain Local Groups，而Domain Local Groups需要放入存放在服务器上的访问控制列表内；假如存在多个域，那么包含users的Global Groups就需要放入 Universal Groups，之后Universal Groups就会被放入Domain Local Groups，该Domain Local Groups就会出现在访问控制列表内。

反观OUs与Groups具有诸多不同，例如 ：OUs并没有 SIDs，不能放入访问控制列表，也不能放进Group。既然OUs有很多“不行”，那么它的价值何在呢？

OUs的本职在于组织AD中的对象（Objects），可以授权对其内部对象的管理和部署组策略设置。简言之，Groups旨在对数据的访问准许，OUs主要实现对其对象的控制（体现为组策略设置）。