Может ли пользователь быть членом нескольких организационных единиц (OU) в Active Directory?

Question

Может ли пользователь быть членом нескольких организационных единиц (OU) в Active Directory? Кроме того, существует ли упомянутый Microsoft стандартный формат того, как следует создавать подразделение и каковы его атрибуты?

Я нашел это в Википедии :

Однако организационные единицы - это просто абстракция для администратора, и они не функционируют как настоящие контейнеры; базовый домен работает так, как если бы все объекты были созданы в простой структуре плоского файла без каких-либо организационных единиц. Например, невозможно создать две учетные записи с одинаковым именем пользователя в двух отдельных подразделениях, таких как «fred.staff-ou.domain» и «fred.student-ou.domain».

Answer 1

Может ли пользователь быть членом нескольких организационных единиц (OU) в Active Directory?

Нет.

Answer 2

номер

Как вы упоминаете себя:

However, Organizational Units are just an abstraction for the administrator, and do not function as true containers; the underlying domain operates as if objects were all created in a simple flat-file structure, without any OUs.

Вы можете скопировать файл в другое место в вашей файловой структуре, однако вы можете иметь только одного пользователя только один раз в лесу каталогов. Поэтому вы не можете добавить его к нескольким подразделениям.

И, на мой взгляд, бесполезно добавлять пользователя в несколько подразделений, поскольку они не служат реальными группами AD. Если вы действительно хотите какую-то иерархию, вам следует построить иерархию подразделений.

Answer 3

Объект может и всегда существует только в ОДНОМ месте в Active Directory.

Согласно этому утверждению, НЕТ, пользователь не может существовать в двух разных подразделениях в домене Active Directory одновременно. Пользователь может быть перемещен из одного подразделения в другое, но в любой момент времени он находится только в одном месте.

Итак, НЕТ, пользователь не может быть членом двух подразделений в Active Directory.

Пользователь может принадлежать к двум группам, и группы могут находиться в двух разных подразделениях, но его членство в группах не обязательно состоит в двух разных подразделениях. Членство в группах представлено ссылками.

Answer 4

Да.

Если вы сделаете своего пользователя членом двух разных групп и поместите эти две группы в две разные организационные единицы, пользователь окажется в двух разных организационных единицах. Но делать это бессмысленно, потому что это будет неразбериха с политиками, разрешениями и т. Д.

Answer 5

Таким образом, в терминах AD учетная запись пользователя имеет атрибут с одним значением в подразделении и атрибут с несколькими значениями в группах. Нам удобно расширять метафору папок и т. Д., Но не за счет понимания структуры.