Active Directory Organisationseinheiten sind spezielle Container um Benutzer, Gruppen, Computer und andere OUs aufnehmen zu können. OUs werden von Administratoren erstellt, um Active Directory Objekte logisch zu ordnen (z.B. nach Abteilung) oder um Gruppenrichtlinien anzuwenden. Container dagegen sind sind vordefinierte, unveränderliche Active Directory Objekte.

Organisationseinheiten (OUs)

Öffnet man auf einem Domain-Controller das Snap-In dsa.msc so findet man vorkonfigurierte OUs wie die OU Domain Controllers, aber möglicherweise auch weitere OUs, welche vom Administrator zu administrativen Zwecken erstellt wurden.

Man erkennt diese grafisch am klein wenig veränderten Icon der Ordner.

Eine neue OU wird erstellt, indem man mit der rechten Maustaste Neu wählt und dieser einen Namen vergibt. Danach können Active Directory Objekte in diese OU verschoben werden.

In der Datenbank sind OUs mit dem DN (Distinguished Name) OU= zu erkennen.

Container

Container sind vordefinierte Active Directory Objekte. Sie können nicht gelöscht werden und werden in der Datenbank mit CN= definiert. Die Anwendung von Gruppenrichtlinien auf Container ist nicht möglich.

In PowerShell wird ein Container mit CN= (Common Name) “angesprochen”.

Gruppenrichtlinien und OUs

In der Gruppenrichtlinienkonsole gpmc.msc sind nur OUs sichtbar. Da Gruppenrichtlinien nur auf Organisationseinheiten angewendet werden können, macht es auch kaum Sinn Container anzuzeigen.

Da alle Computer zunächst – per Default – im Container Computers laden können kann eine Umleitung eingerichtet werden: Active Directory: Users und Computers Container mit redircmp und redirusr umleiten.