檢閱 OU 設計概念

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

網域的組織單位 (OU) 結構包含下列各項：

• OU 階層的圖表

• OU 的清單

• 對於每個 OU：

  • OU 的目的

  • 對 OU 或 OU 中的物件具有控制權的使用者或群組的清單

  • 使用者和群組對 OU 中的物件擁有的控制權類型

OU 階層不需要反映組織或群組的部門階層。 OU 是針對特定目的而建立的，例如管理的委派、群組原則的應用，或限制物件的可見性。

您可以設計您的 OU 結構，將管理委派給組織內需要自主權管理自己的資源和資料的個人或群組。 OU 代表管理的界限，可讓您控制資料管理員的權限範圍。

例如，您可以建立一個名為 ResourceOU 的 OU，並用它來儲存屬於某個群組所管理的檔案和列印伺服器的所有電腦帳戶。 然後，您可以在該 OU 上設定安全性，讓只有該群組的資料管理員才能存取該 OU。 這可防止其他群組的資料管理員竄改檔案和列印伺服器帳戶。

您可以針對特定的目的 (例如應用群組原則，或限制受保護物件的可見性以讓只有某些使用者可以看到它們) 來建立 OU 子樹以進一步細化 OU 結構。 例如，如果您需要將群組原則套用到選定的使用者或資源群組，則可以將這些使用者或資源新增至一個 OU 中，然後再將群組原則套用至該 OU。 您也可以使用 OU 階層來啟用進一步的管理控制權委派。

雖然 OU 結構中的層級數目沒有技術上的限制，但為了方便管理，我們建議您將 OU 結構的深度限制為不超過 10 個層級。 每個層級的 OU 數目沒有技術上的限制。 請注意，啟用 Active Directory 網域服務 (AD DS) 的應用程式可能會對辨別名稱 (即目錄中物件的完整「輕量型目錄存取協定 (LDAP)」路徑) 中使用的字元數或階層內的 OU 深度有限制。

AD DS 中的 OU 結構並不打算讓一般使用者看見。 OU 結構是服務管理員和資料管理員的一個管理工具，而且它很容易變更。 持續檢閱及更新您的 OU 結構設計，以反映管理結構的變更並支援以原則為基礎的管理。