在 AD 中，向我解釋將使用者放入 OU 的好處

到目前為止，我剛剛將域中的所有使用者和電腦留在域根目錄中。

我一直在考慮如何更好地組織我的 AD，但我還沒有看到使用 OU 的優勢。

現在，我使用安全組組織所有內容，然後使用安全過濾應用 GPO。

如果我按 OU 組織所有內容，在我看來，它允許我做的就是刪除幾個 GPO 上的安全過濾。但它似乎也將使總體上計算成員資格和繼承變得更加複雜。

我在這裡想念什麼？

我發現這兩個執行緒似乎其他人對如何充分利用 OU 感到同樣困惑：

建構 OU 以正確建模組織層次結構

將組策略應用於特定電腦（不在 OU 中）上的特定使用者（在 OU 中）

將使用者放在 OU 上的主要原因是出於組織名稱的目的。

主要是，最重要的原因是 GPO。OU 可幫助您隔離 GPO，您可以使用安全選項或 WMI 過濾器來引導 GPO，但 WMI 過濾器是真正的性能殺手，通常會導致登錄緩慢。

另一個重要的好處是可以將 OU 的控制權委託給使用者。這樣，您可以增強安全性並將功能委託給非管理員使用者。使用者擁有的權限越少越好。

引用自：https://serverfault.com/questions/803058