所以它們都是您用來組織其他對象的對象。您可以將使用者、組和電腦添加到它們。

1. 它們之間有什麼區別？
2. 在公司（OU 或 Groups）中劃分不同部門的使用者和電腦的最佳方法是什麼？

概括：

OU 包含使用者對象，組具有使用者對象列表。

您將使用者放入組中以控制該使用者對資源的訪問。您將使用者放入 OU 以控制誰對該使用者擁有管理權限。

它們就像文件伺服器（您的 AD）上的文件夾（OU）和文件（組）：管理整個文件夾而不是單個文件的權限/ACL 更容易，並讓它們通過以下方式應用於文件（組）自動繼承。拒絕訪問：了解 AD OU 和組之間的區別中詳細解釋了這個類比：

$$ … $$因為使用者和組具有 ACL，您可以將部分管理權限委派給子管理員。但是，正如單獨維護每個文件的 ACL 是不切實際的，單獨控制每個使用者或組對象的管理權限也是不切實際的。因此，您可以將您希望允許特定子管理員管理的所有使用者和組收集到一個 OU 中，然後將對該 OU 的適當權限授予該子管理員。您在 OU 的 ACL 中定義的權限會向下流向該 OU 中的所有使用者和組，就像文件夾 ACL 向下流向文件夾中的所有文件一樣。

差異：

• 您可以將組策略連結到 OU，但不能連結到組
• 您可以將文件/文件夾/共享權限授予組，但不能授予 OU
• 組有 SID，OU 沒有

建議：

• 您應該使用 OU 來組織您的 Active Directory，因此更易於管理（例如，將對使用者和組的管理控制權委託給其他管理員）
• 您應該使用組來授予資源權限（例如文件伺服器上共享的讀取權限）
• 從連結的資源：

為了幫助您保持 OU 和組的正確性，請記住，使用者可以是多個組的成員，但只能駐留在一個 OU 中，就像文件只能駐留在一個文件夾中一樣。

所以你應該用它們來做不同的事情。

引用自：https://serverfault.com/questions/797398