¿Puede un usuario ser miembro de múltiples Unidades de organización (OU) en Active Directory?

Question

¿Puede un usuario ser miembro de múltiples Unidades de organización (OU) en Active Directory? Además, ¿hay un formato estándar mencionado por Microsoft sobre cómo se debe crear una unidad organizativa y cuáles son sus atributos?

He encontrado esto en Wikipedia:

Sin embargo, las unidades organizativas son sólo una abstracción para el administrador, y no funcionan como verdaderos contenedores; el dominio subyacente funciona como si todos los objetos se hubieran creado en una estructura simple de archivos planos, sin ningún OU. No es posible, por ejemplo, crear dos cuentas de usuario con un nombre de usuario idéntico en dos unidades organizativas separadas, como "fred.staff-ou.domain" y "fred.student-ou.domain".

Answer 1

¿Puede un usuario ser miembro de múltiples unidades organizativas (OU) de Active Directory?

Nº

Answer 2

Nº

Como usted menciona a sí mismo:

However, Organizational Units are just an abstraction for the administrator, and do not function as true containers; the underlying domain operates as if objects were all created in a simple flat-file structure, without any OUs. 

Se puede copiar un archivo a otra ubicación en la estructura de archivos, sin embargo, sólo puede tener una determinada usuario solo una vez en el bosque del directorio. Por lo tanto, no puede agregarlo a múltiples OU.

Y, en mi opinión, no tiene sentido agregar un usuario a varias OU, ya que no sirven como grupos de AD reales. Si realmente quieres una jerarquía, entonces debes construir una jerarquía de OU.

Answer 3

Sí.

Si hace que su usuario sea miembro de 2 grupos diferentes, y los coloca en dos Unidades Organizativas diferentes, el usuario se encuentra en dos Unidades Organizativas diferentes. Pero no tiene sentido hacer eso porque será un desastre con las políticas, permisos, etc.

Answer 4

Un objeto puede y siempre existe solo en UNA ubicación en el Directorio Activo.

Con esa afirmación, NO, un usuario no puede existir en dos unidades organizativas diferentes en un dominio de Active Directory al mismo tiempo. Un usuario puede moverse de una unidad organizativa a otra, pero en cualquier punto en el tiempo, solo reside en UNA ubicación.

Por lo tanto, NO, un usuario no puede ser miembro de dos unidades organizativas en Active Directory.

Un usuario puede pertenecer a dos grupos, y los grupos pueden estar en dos unidades organizativas diferentes, pero su pertenencia a los grupos no hace que residan en dos unidades organizativas diferentes. Las membresías grupales están representadas por enlaces.

Answer 5

Por lo tanto, en términos de AD, una cuenta de usuario tiene un atributo de valor único en la unidad organizativa y un atributo multivalor en grupos. Nos resulta útil ampliar la metáfora de las carpetas y demás, pero no a expensas de comprender la estructura.