Может ли пользователь быть членом нескольких подразделений организации (OU) в Active Directory?

Может ли пользователь быть членом нескольких подразделений организации (OU) в Active Directory? Кроме того, существует ли стандартный формат, упомянутый Microsoft о том, как OU должно быть создано и каковы его атрибуты?

Я нашел это на Wikipedia:

Однако организационные единицы - это просто абстракция для администратора и не функционируют как настоящие контейнеры; базовый домен работает так, как если бы все объекты были созданы в простой файловой структуре без каких-либо подразделений. Например, невозможно создать две учетные записи пользователя с одинаковым именем пользователя в двух отдельных подразделениях, таких как "fred.staff-ou.domain" и "fred.student-ou.domain".

ОТВЕТЫ

Ответ 1

Может ли пользователь быть членом нескольких подразделений организации (OU) в Active Directory?

Нет.

Ответ 2

Нет.

Как вы сами упоминаете:

However, Organizational Units are just an abstraction for the administrator, and do not function as true containers; the underlying domain operates as if objects were all created in a simple flat-file structure, without any OUs.

Вы можете скопировать файл в другое место в вашей файловой структуре, однако вы можете иметь только одного пользователя только один раз в лесу каталога. Поэтому вы не можете добавить его в несколько подразделений.

И, на мой взгляд, нет смысла добавлять пользователя в несколько подразделений, поскольку они не служат реальными группами AD. Если вам действительно нужна иерархия, вы должны создать иерархию подразделений.

Ответ 3

Объект может и всегда существует только в ОДНОМ месте в Active Directory.

По этому утверждению NO, пользователь не может существовать в двух разных подразделениях в домене Active Directory одновременно. Пользователь может перемещаться из одного подразделения в другое, но в любой момент времени он находится только в ОДНОМ месте.

Итак, нет, пользователь не может быть членом двух подразделений в Active Directory.

Пользователь может принадлежать двум группам, а группы могут быть в двух разных подразделениях, но его членство в группах не состоит из двух разных подразделений. Членство в группах представлено ссылками.

Ответ 4

Да.

Если вы сделаете своего пользователя членом двух разных групп, и вы поместите эти две группы в два разных организационных подразделения, пользователь будет в двух разных организационных единицах. Но нет смысла делать это, потому что это будет беспорядок с политиками, разрешениями и т.д.

Ответ 5

Таким образом, в терминах AD учетная запись пользователя имеет однозначный атрибут в OU и атрибут multi-value в группах. Нам удобно расширять метафорию папок и т.д., Но не за счет понимания структуры.