Выбор между группами и организационными единицами
Если организационные единицы (OU) применяются в основном для разделения административных функций, то группы больше подходят для логической организации функций безопасности. Другими словами, OU создаются, когда необходимо предоставить какому-то отделу или физическому сайту определенный уровень административных возможностей для управления собственной средой. Например, организация с офисами в другой стране могла бы создать для своих пользователей отдельную организационную единицу (подразделение) и предоставить ей привилегии локального администратора на изменение паролей и создание пользовательских учетных записей.
Группы создаются для упорядочения пользователей таким образом, чтобы им было легче назначать права безопасности. Например, та же организация может создать группу под названием Office Users (Пользователи в филиале) и поместить в нее всех пользователей из этого офиса. Затем этой группе устанавливаются все необходимые права на доступ к объектам в AD DS, такие как права на доступ к папками, находящимся в главном офисе. Сделать подобное на уровне OU не получится.
Итак, главное отличие между организационными единицами и группами состоит в том, что группы могут применяться при настройке прав доступа к объектам, а организационные единицы — когда необходимо делегировать определенные административные функции.