Resumo:
OUs contêm objetos do usuário, grupos têm uma lista de objetos do usuário.
You put a user in a group to control that user's access to resources. You put a user in an OU to control who has administrative authority over that user.
Eles são como pastas (UO) e arquivos (grupos) em um servidor de arquivos (seu AD): é mais fácil gerenciar permissões / ACLs em pastas inteiras em vez de arquivos únicos e permitir que elas sejam aplicadas aos arquivos ( grupos) por herança automaticamente. Esta analogia é explicada em detalhes em Acesso Negado: Entenda a Diferença entre OUUs do AD e grupos :
[...] because users and groups have ACLs, you can delegate portions of administrative authority to subadministrators. But, just as separately maintaining the ACL of every file is impractical, so is separately controlling administrative authority on each user or group object. Therefore, you can collect into an OU all the users and groups that you want to enable a particular subadministrator to manage, then grant the proper authority over the OU to that subadministrator. Permissions you define in an OU's ACL flow down to all the users and groups in that OU, just as folder ACLs flow down to all the files in a folder.
Diferenças:
- Você pode vincular políticas de grupo a UOs, mas não a grupos
- Você pode conceder permissões de arquivos / pastas / compartilhamentos a grupos, mas não a UOs
- Os grupos têm um SID, as UOs não
Recomendações:
- Você deve usar UOs para organizar o Active Directory, para facilitar o gerenciamento (por exemplo, para delegar o controle administrativo sobre usuários e grupos a outros administradores)
- Você deve usar grupos para conceder permissão em recursos (por exemplo, permissões de leitura de um compartilhamento em um servidor de arquivos)
- Do recurso vinculado:
To help you keep OUs and groups straight, remember that a user can be a member of many groups but can reside in only one OU, just as a file can reside in only one folder.
Então você deve usá-los para fazer coisas diferentes.