在AD中按部门组织架构划分组织单元;安全组的设置可以很灵活,按纵向和横向划分都可以;组的存放可以选择各种容器,可以放在组织单元中,也可以放在单独划分出来的组织单元;用户只可以从属于一个OU,但是可以同时从属于多个组;OU可以用来制定策略,但是不能用于分配权限;组可以用于分配权限,但不能作为策略的容器;