當前位置：首頁 > 通用術語 > 什麼是組織單位（OU）？概念、怎麼運作

什麼是組織單位（OU）？概念、怎麼運作

2025-08-26通用術語9

網路百科全書中組織單位（OU）的定義。

什麼是組織單位（OU）？

組織單位是 Microsoft Windows Server Active Directory 中的一種容器物件，可以包含其他 Active Directory 物件。

怎麼運作

組織單位（OU）可以包含其他 OU，也可以包含特定物件，例如此處列出的物件：

用戶
團體
電腦
檔案共用
印表機
安全原則
應用

OU 可讓 Active Directory 的階層式結構成為可能。目錄中的物件會以樹狀結構分組，以便於管理。OU 會在 Windows 2000 管理主控台中顯示為資料夾，就像檔案系統中儲存個別檔案的資料夾一樣。OU 是網域中使用者和資源的邏輯群組;它們透過將管理任務委派給特定人員來簡化網域的管理。

OU 通常用於複製 Active Directory 內公司的組織結構。例如，公司可能有名為 Dev、Marketing 和 Sales 的 OU，代表這三個部門的網路資源。OU 也可以根據地理條件（例如紐約、洛杉磯和底特律）或管理功能（帳戶、共用和印表機）來分配。當您執行 Active Directory 安裝精靈，在執行 Windows 2000 的伺服器上安裝 Active Directory 時（，因此將伺服器變成網域控制站），會建立 OU 的預設階層。此預設階層可協助您開始管理 Active Directory。它包含下列 OU，您可以使用 Active Directory 使用者和電腦（Microsoft Management Console （MMC）的嵌入式管理單元來顯示這些 OU：

內置：包括內建安全群組，例如管理員和帳戶操作員
電腦：包括網域中的其他電腦
使用者：包括網域使用者物件
網域控制站：包含網域中的網域控制站

組織單位（OU）

Active Directory 中 OU 的階層結構也簡化了查詢 Active Directory 以取得網路資源相關資訊的工作。OU 有助於促進 Active Directory 的管理，因此有助於管理網路本身的資源。系統管理員使用 OU 來組織網路上的使用者和資源，並將管理和其他權限和權限委派給使用者和群組。管理員對目錄中的所有物件具有完整存取權限，並且可以為適當的使用者和群組指派 OU 的各種子樹的權限。對於任何 OU，管理員可以將下列任一權限委派給特定使用者和群組：

完整的管理控制：完全控制 OU 中的所有物件
有限的系統管理控制：僅修改 OU 中包含的物件的特定層面的能力

Active Directory 中物件的存取是以隨意存取控制清單（DACL）為基礎，其提供類似於 NTFS 檔案系統中使用的安全性模型。由於具有類似安全性需求的物件會分組到 OU 中，因此指派給 OU 的許可權會繼承給 OU 中的所有物件。您可以使用 Active Directory 使用者和電腦，將許可權指派給 OU 和其他物件。

NOTE

如果數個網域連線到網域樹狀結構中，則每個網域都可以有自己特別設計的 OU 階層。網域樹狀結構內的網域結構彼此獨立。不過，OU 只能包含來自其自己網域的物件，而不能包含來自網域樹狀結構內任何其他網域的物件。

OU 不是公司命名空間的一部分，在 Windows 2000 中，公司命名空間是以網域名稱系統（DNS）為基礎。換句話說，您可以使用 DNS 名稱（例如 northwind.microsoft.com）來識別 Windows 2000 網域，但無法使用 DNS 名稱來識別網域內的 OU。不過，您可以使用輕量型目錄存取通訊協定（LDAP）名稱來指定 OU。

您無法在先前列出的四個預設 OU 內建立新的 OU。這些預設 OU 可讓您開始管理網路。

Tips

若要在 Active Directory 中建立新的 OU，請在 Active Directory 使用者和電腦中選取所需的父容器，然後從動作功能表的新增子功能表中選擇組織單位。您也可以使用主控台工具列。建立新 OU 時，唯一需要指定的資訊是其名稱。

建立 OU 時，您應該考慮誰將擁有和管理它，以及誰將負責下列任務：

將物件新增至 OU 或從 OU 中刪除物件
修改 OU 中物件的屬性值
管理 OU 及其物件的權限，並將權限委派給其他人

您可以為將獲指派與網路資源類似權限的使用者群組建立 OU。您也可以為長期和臨時員工建立單獨的 OU。您可以將具有類似安全性需求的共用資料夾和印表機分組到 OU 中。

您應該建立穩定且不會經常變更的 OU，並且應避免讓 OU 的階層過於複雜。在具有網域樹狀結構的多網域案例中，通常最好讓所有網域的第一層 OU 相同，以便為公司的網路資源提供一致性。第一層 OU 通常代表下列項目：

不同的地理位置，例如國家或大陸，或不同的功能位置，例如總部和分支機構。這通常是定義第一層 OU 的最佳方式。
不同類型的網路資源，例如使用者、印表機、電腦等。這可簡化資源管理，但可能會導致第一層 OU 過多。
不同的業務單位，例如銷售、支援和管理。保持足夠的靈活性和廣泛性，這樣如果您的公司重組，您就不必重新創建所有內容。
專案和成本中心。

保持 OU 的整個結構相當淺（不超過兩到三個層級），以確保使用者查詢 Active Directory 時的良好效能。建議最多 10 個層級的 OU。

您可以使用 OU 來取代資源網域，這些網域會在 Windows NT 中用來簡化和集中管理網路資源。您也可以建立具有資源個別網域的網域樹狀結構。如果您想要在公司的不同位置或分支機構或超大型企業中實施不同的安全策略，您應該建立新的網域而不是 OU。否則，只建立一個網域，並使用該網域內的 OU 來組織資源和管理作業會更簡單。

返回列表

上一篇：什麼是NTFS 特殊權限（Windows NT）？概念、怎麼運作

下一篇：什麼是頻外管理（OBM）？概念、怎麼運作的