Windowsサーバー。組織単位とグループの違いは？ （Active Directory）

概要：

OUにはユーザーオブジェクトが含まれ、グループにはユーザーオブジェクトのリストがあります。

ユーザーをグループに入れて、そのユーザーのリソースへのアクセスを制御します。ユーザーをOUに配置して、そのユーザーに対する管理権限を持つユーザーを制御します。

これらは、ファイルサーバー（AD）上のフォルダー（OU）とファイル（グループ）のようなものです。単一のファイルではなく、フォルダー全体のアクセス許可/ ACLを管理し、それらをファイル（グループ）に適用することが簡単にできます。自動的に継承。このアナロジーは、詳細に説明されています アクセス拒否：AD OUとグループの違いを理解する ：

[...]ユーザーとグループにはACLがあるため、管理権限の一部を副管理者に委任できます。ただし、すべてのファイルのACLを個別に維持することは現実的ではないのと同様に、各ユーザーまたはグループオブジェクトの管理権限を個別に制御することも現実的ではありません。したがって、特定の副管理者が管理できるようにするすべてのユーザーとグループをOUに収集し、その副管理者にOUに対する適切な権限を付与できます。フォルダーACLがフォルダー内のすべてのファイルに流れ込むように、OUのACLで定義するアクセス許可は、そのOU内のすべてのユーザーとグループに流れます。

違い：

• グループポリシーはOUにリンクできますが、グループはリンクできません
• グループにはファイル/フォルダ/共有権限を付与できますが、OUは付与できません
• グループにはSIDがありますが、OUにはありません

推奨事項：

• OUを使用してActive Directoryを整理する必要があるため、管理が容易になります（たとえば、ユーザーとグループの管理制御を他の管理者に委任する場合）
• リソースへのアクセス許可を与えるには、グループを使用する必要があります（たとえば、ファイルサーバー上の共有の読み取りアクセス許可）
• リンクされたリソースから：

  OUとグループをわかりやすくするために、ユーザーは多くのグループのメンバーになることができますが、ファイルは1つのフォルダーにしか配置できないのと同じように、1つのOUにしか配置できません。

したがって、両方を使用して異なることを行う必要があります。