OU

Organizational units
A particularly useful type of directory object contained within domains is the organizational unit. Organizational units are Active Directory containers into which you can place users, groups, computers, and other organizational units. An organizational unit cannot contain objects from other domains.

An organizational unit is the smallest scope or unit to which you can assign Group Policy settings or delegate administrative authority. Using organizational units, you can create containers within a domain that represent the hierarchical, logical structures within your organization. You can then manage the configuration and use of accounts and resources based on your organizational model. For more information about Group Policy settings, see Group Policy (pre-GPMC).

As shown in the figure, organizational units can contain other organizational units. A hierarchy of containers can be extended as necessary to model your organization's hierarchy within a domain. Using organizational units will help you minimize the number of domains required for your network.

You can use organizational units to create an administrative model that can be scaled to any size. A user can have administrative authority for all organizational units in a domain or for a single organizational unit. An administrator of an organizational unit does not need to have administrative authority for any other organizational units in the domain. For more information about delegating administrative authority, see Delegating administration.

Gli oggetti Active Directory presenti all'interno di un dominio possono essere raggruppati fra loro in unità organizzative (Organizational Units - OUs). Utilizzando queste strutture è possibile formare una gerarchia all'interno del dominio e facilitarne così l'amministrazione, ad esempio suddividendo la struttura in termini geografici. Le unità organizzative sono il livello raccomandato per realizzare politiche di gestione dei gruppi, i quali sono oggetti Active Directory chiamati ufficialmente Group Policy Objects (GPOs), e per la delegazione di poteri amministrativi.

Le unità organizzative rappresentano in ogni caso una semplice astrazione realizzabile per scopi amministrativi e non forniscono perciò un contenitore fisico di oggetti. In questo contesto non è possibile definire ad esempio un account utente con lo stesso nome in due unità organizzative appartenenti allo stesso dominio, poiché la visibilità effettiva è sempre limitata al dominio prescelto e non alle unità organizzative in esso contenute.