したがって、これらは両方とも、他のオブジェクトを整理するために使用するオブジェクトです。ユーザー、グループ、コンピューターを両方に追加できます。
OUにはユーザーオブジェクトが含まれ、グループにはユーザーオブジェクトのリストがあります。
ユーザーをグループに入れて、そのユーザーのリソースへのアクセスを制御します。ユーザーをOUに配置して、そのユーザーに対する管理権限を持つユーザーを制御します。
これらは、ファイルサーバー(AD)上のフォルダー(OU)とファイル(グループ)のようなものです。単一のファイルではなく、フォルダー全体のアクセス許可/ ACLを管理し、それらをファイル(グループ)に適用することが簡単にできます。自動的に継承。このアナロジーは、詳細に説明されています アクセス拒否:AD OUとグループの違いを理解する :
[...]ユーザーとグループにはACLがあるため、管理権限の一部を副管理者に委任できます。ただし、すべてのファイルのACLを個別に維持することは現実的ではないのと同様に、各ユーザーまたはグループオブジェクトの管理権限を個別に制御することも現実的ではありません。したがって、特定の副管理者が管理できるようにするすべてのユーザーとグループをOUに収集し、その副管理者にOUに対する適切な権限を付与できます。フォルダーACLがフォルダー内のすべてのファイルに流れ込むように、OUのACLで定義するアクセス許可は、そのOU内のすべてのユーザーとグループに流れます。
OUとグループをわかりやすくするために、ユーザーは多くのグループのメンバーになることができますが、ファイルは1つのフォルダーにしか配置できないのと同じように、1つのOUにしか配置できません。
したがって、両方を使用して異なることを行う必要があります。
通常、OUを使用してActive Directoryツリーを編成し、グループポリシーを適用します。
リソースへのアクセス許可をグループに付与してセキュリティを確保し、ユーザーをグループに追加します。
グループは、データへのアクセスを許可するためのものであり、組織単位(略してOU)は、委任およびグループポリシー設定を介してオブジェクト(ユーザーおよびコンピューター)を整理および制御するためのものです。
これは組織の空想に依存します。ネットワークを論理的に編成する方法。