В каждой организации при проектировании службы каталогов Active Directory, необходимо уделить особое внимание разработке структуры подразделений, назначению ролей владельцев подразделений, а также созданию подразделений учетных записей и ресурсов. Подразделения, или организационные единицы (англ. Organization Unit, OU) предназначены для упрощения администрирования доменных служб Active Directory путем группировки администрируемых объектов. По сути, подразделения позволяют вам обеспечить автономность администрирования и предоставляют средства управления видимостью объектов в Active Directory. Помимо этого, они обеспечивают изоляцию администраторов данных, и тот факт, что владельцы подразделений управляют поддеревом объектов, не лишает владельца леса возможности полностью контролировать все поддеревья. Стоит обратить внимание на то, что структура подразделений является уникальной только для домена, а не для леса и, учитывая то, что домен может содержать миллионы объектов, управление таким количеством объектов без возможности их организации в логические группы может значительно усложнить вам работу. Подразделения позволяют вам создавать иерархическую структуру внутри домена, представляя собой объекты-контейнеры, которые могут содержать объекты службы каталогов таких типов, как: компьютеры, пользователи, группы, контакты, принтеры, общие папки, inetOrgPerson, а также другие подразделения. Каждое подразделение в домене должно иметь своего владельца, который по существу является диспетчером данных, и управляет поддеревом объектов в доменных службах Active Directory. Владельцы подразделений могут создавать новые поддеревья и делегировать администрирование подразделений в этих поддеревьях.
Как я упомянул выше, подразделения в большинстве случаев делятся на подразделения учетных записей и подразделения ресурсов.
