在域内使用 Active Directory 容器对象。组织单位是用户、 组、 计算机和其他组织单位放入其中的逻辑容器。它可以包含只来自其父域的对象。组织单位是最小作用域的组策略对象 (GPO) 可以被链接到的或可以委派管理机构。