Este equipo especializado luego de varios días de trabajo y de recopilar de datos, encontramos la solución, deseamos que te resulte útil para tu plan.
Solución:
Resumen:
Las unidades organizativas contienen objetos de usuario, los grupos tienen una lista de objetos de usuario.
Pones a un usuario en un grupo para controlar el acceso de ese usuario a los recursos. Pones a un usuario en una unidad organizativa para controlar quién tiene autoridad administrativa sobre ese usuario.
Son como carpetas (OU) y archivos (grupos) en un servidor de archivos (su AD): es más fácil administrar permisos/ACL en carpetas completas en lugar de archivos individuales, y permitir que se apliquen a los archivos (grupos) por herencia automáticamente. Esta analogía se explica en detalle en Acceso denegado: comprensión de la diferencia entre unidades organizativas y grupos de AD:
[…] dado que los usuarios y los grupos tienen ACL, puede delegar partes de la autoridad administrativa a los subadministradores. Pero, así como mantener por separado la ACL de cada archivo no es práctico, tampoco lo es controlar por separado la autoridad administrativa en cada objeto de usuario o grupo. Por lo tanto, puede recopilar en una unidad organizativa todos los usuarios y grupos que desea permitir que un subadministrador en particular administre y luego otorgar la autoridad adecuada sobre la unidad organizativa a ese subadministrador. Los permisos que define en la ACL de una unidad organizativa fluyen hacia todos los usuarios y grupos en esa unidad organizativa, al igual que las ACL de carpeta fluyen hacia todos los archivos en una carpeta.
Diferencias:
- Puede vincular políticas de grupo a unidades organizativas, pero no a grupos.
- Puede otorgar permisos de archivo/carpeta/compartir a grupos, pero no a unidades organizativas
- Los grupos tienen un SID, las unidades organizativas no.
Recomendaciones:
- Debe usar unidades organizativas para organizar su Active Directory, de modo que sea más fácil de administrar (por ejemplo, para delegar el control administrativo sobre usuarios y grupos a otros administradores)
- Debe usar grupos para otorgar permisos sobre los recursos (por ejemplo, permisos de lectura de un recurso compartido en un servidor de archivos)
- Del recurso vinculado:
Para ayudarlo a mantener las unidades organizativas y los grupos en orden, recuerde que un usuario puede ser miembro de muchos grupos pero puede residir en una sola unidad organizativa, al igual que un archivo puede residir en una sola carpeta.
Así que deberías usarlos para hacer cosas diferentes.