概念:组织单位(Organizational Unit),简称OU ,是可以将用户、组、计算机和其它组织单位放入其中的AD容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。

 

   观察AD用户和计算机的窗口,分析OU图标的不同。

 

   1.OU的基本管理

(1)仿照学校的结构,建立不同的OU

 wKiom1gnC3jiBDHsAACT_AhTRbY580.jpg-wh_50


2)按住鼠标左键,分别移动部分用户账户至创建好的OU中。

 wKiom1gnC7yhBk_DAACKYoY9MOk138.jpg-wh_50

 

3)选择一个用户,移动至动漫制作技术这个OU中,然后将该OU删除,检查用户是否仍然存在。(注意,删除OU时,需要通过AD用户和计算机管理控制台中,选择查看菜单下的高级功能,才能使每个OU隐藏的属性“对象”这一标签出现!!)

 wKioL1gnC_3TcRXVAABtkXVBNck592.jpg-wh_50

 

    总结:组织单元主要用于网络构建,只表示单个域包含的一类目录对象如用户、计算机和组、文件与打印机等资源,是一个容器,可以在OU上部署组策略,是一个容器。组织单元还具有分层结构可用来建立域的分层结构模型,进而可使用户把网络所需的域的数量减至最小。组织单元具有继承性,子单元能够继承父单元的acl。同时域管理员可授予用户对域中所有组织单位或单个组织单位的管理权限。就像一个公司的各个部门的主管,权力平均化能更有效的管理。


    2.组的基本管理

   (1)以管理员身份登录DC,在USERS容器内,新建两个组,分别命名为“15网络男神组”和“15网络女神组”。组作用域保持默认设置,组类型分别选择为“安全组”和“通讯组”。

                       

wKiom1gnDLPC0SDTAABvjUCZSyc309.jpg-wh_50

wKioL1gnDLSDvuzqAABhzMT720g891.jpg-wh_50

      

 

 

 

2)在DC的桌面上新建一个文件夹,设置其NTFS权限。观察权限设置的窗口里,上述新建的两个组,哪一个出现,哪一个不出现。

 wKiom1gnDN7ChnJNAAB5kJnG5SI210.jpg-wh_50

 

3)改变原先“通讯组”为“安全组”,关闭步骤2里设置权限的窗口,再次打开查看。

 wKioL1gnDTGRvMoJAAA4llhZjgU230.jpg-wh_50

 

    由上述操作,可知:AD中的域组可以分为两种类型,且它们之间可以相互转换。分别是:

    安全组:可以被用来指定权限与权利,例如设置对文件具有读取权限;也可以用在与安全无关的工作上,例如可以发送电邮给安全组。

    通讯组:又称发布组,被用在与安全(权限与权利的设置等)无关的工作上,例如可以发送电邮给发布组,但是无法给予发布组权限与权利。

    除了组的类型,应用中还需要考虑组的作用范围。(了解)

wKiom1gnDXOjix6TAAEMXIo_SEc372.jpg-wh_50

 

总结:

组和组织单元有很大的不同。组主要用于权限设置,组织单位可以包含用户、计算机、本地服务器上的共享资源。执行删除操作时,操作结果有所不同。