19、活动目录组织单位（OU）管理全解析

活动目录组织单位（OU）管理全解析

1. 组织单位（OU）结构规划

在活动目录环境中，合理规划 OU 结构至关重要。例如，创建“北美”OU 时，“加拿大”OU 逻辑上应置于其下。若要将它们分开，需使用更合适的名称，如把“北美”改为“美国用户”。用户和管理员依赖域内 OU 的层次结构，所以要确保其逻辑一致。

1.1 OU 继承理解

重新排列 OU 时，会改变一些设置。系统管理员在移动和重组 OU 时，需留意安全权限和其他配置选项的自动及意外变化。默认情况下，OU 移动后会继承新父容器的权限。使用 Windows Server 2003 和活动目录的内置工具，只能在同一域内移动或复制 OU。若要在不同域间移动整个 OU 结构，可使用 Server 2003 资源包中的 movetree 命令。

1.2 管理控制委派

OU 是域内可分配管理权限和组策略的最小组件。委派是指高级安全权限授予低级安全权限。例如，大型组织的 IT 总监会将不同职责分配给不同人员，如让一名系统管理员负责销售域的所有操作，另一名负责工程域。通过这种方式，可分配 IT 人员的职责。一般原则是为用户和管理员提供完成工作所需的最小权限，以避免意外、恶意或不必要的更改。

1.3 规划 OU 结构的考虑因素

在活动目录中，通过委派为 OU 管理员定义权限。实施委派时，需考虑两个主要问题：
- 父子关系 ：OU 层次结构对安全权限的可维护性很重要。OU 存在父子关系，父 OU 的权限和组策略可影响子 OU 中的对象。可让子容器自动继承父容器的权限，如为组织的