查看 OU 设计概念

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

域的组织单位 (OU) 结构包括以下内容：

• OU 层次结构图

• OU 列表

• 对于每个 OU：

  • OU 的用途

  • 对 OU 或其所含对象具有控制权的用户或组的列表

  • 用户和组对 OU 中的对象拥有的控制类型

OU 层次结构不需要反映组织或组的部门层次结构。 OU 专为特定目的创建，例如委派管理、应用组策略或限制对象的可见性。

可以设计 OU 结构，将管理委托给组织中需要自主管理其自己的资源和数据的个人或组。 OU 表示管理边界，通过它可控制数据管理员的授权范围。

例如，可以创建一个名为 ResourceOU 的 OU，并使用它来存储属于组管理的文件和打印服务器的所有计算机帐户。 然后，可在 OU 上配置安全性，以便只有组中的数据管理员有权访问 OU。 这可以防止其他组中的数据管理员篡改文件和打印服务器帐户。

可进一步优化你的 OU 结构，方法是针对特定目的创建 OU 的子树，例如应用组策略，或者限制受保护对象的可见性，以便只有特定用户才能看到它们。 例如，如果需要将组策略应用于一组特选的用户或资源，可以将这些用户或资源添加到 OU，然后将组策略应用到该 OU。 还可使用 OU 层次结构启用进一步的管理控制委派。

虽然 OU 结构中的级别数没有技术限制，但为了确保可管理性，建议将 OU 结构限制为不超过 10 个级别的深度。 每个级别的 OU 数没有技术限制。 请注意，已启用 Active Directory Domain Services (AD DS) 的应用程序可能会限制在可分辨名称（即，目录中对象的完整轻型目录访问协议 [LDAP]）中使用的字符数，或者限制层次结构中的 OU 深度。

按照计划，AD DS 中的 OU 结构不对最终用户可见。 OU 结构是一种管理工具，它供服务管理员和数据管理员使用，且易于更改。 请继续查看和更新 OU 结构设计，来反映管理结构中的更改并支持基于策略的管理。