将组织单位添加到目录中

为了使 Active Directory 轻型目录服务 (AD LDS) 用户和组保持有组织状态，您可能希望将用户和组置于组织单位 (OU) 中。在 Active Directory 域服务 (AD DS) 和 AD LDS 以及其他基于轻型目录访问协议 (LDAP) 的目录中，OU 是使用户和组保持有组织状态的最常用的方法。

AD LDS 实例的 Administrators 组中的成员身份是完成此过程所需的最低要求。默认情况下，在 AD LDS 安装过程中指定为 AD LDS 管理员的安全主体会变成配置分区中管理员组的成员。有关 AD LDS 组的详细信息，请参阅了解 AD LDS 用户和组。

将 OU 添加到目录中的步骤

1. 打开 ADSI 编辑器。

2. 连接并绑定到要将 OU 添加到的 AD LDS 实例的目录分区。有关详细信息，请参阅使用 ADSI 编辑器管理 AD LDS 实例。

3. 在控制台树中，双击目录分区，右键单击要将 OU 添加到的容器，指向“新建”，然后单击“对象”。

4. 在“选择类”中单击 organizationalUnit，然后单击“下一步”。

5. 在“值”中，为新 OU 键入一个名称，然后单击“下一步”。

6. 如果要为其他属性设置值，请单击“更多属性”。

7. 为新 OU 设置所需的全部属性后，单击“完成”。

其他注意事项

• 若要打开 ADSI 编辑器，请在已安装 AD LDS 服务器角色的计算机上，依次单击“开始”、“管理工具”和“ADSI 编辑器”。
  
  
• 默认情况下，仅可以将 OU 添加到 OU (OU=)、country/region (C=)、organization (O=) 或 domain-DNS (DC=) 对象类之下。例如，可以将 OU 添加到 o=Microsoft,c=US。而不能将 OU 添加到 cn=test,o=Microsoft,c=US。但是，可以更新 OU 对象类的架构定义以允许其他上级对象类。
  
  
• 还可以通过使用 Windows PowerShell 的 Active Directory 模块执行此过程中的任务。若要打开 Active Directory 模块，请依次单击「开始」、“管理工具”和 Windows PowerShell 的 Active Directory 模块。有关详细信息，请参阅“将组织单位添加到目录中”(https://go.microsoft.com/fwlink/?LinkId=137819)（可能为英文网页）。有关 Windows PowerShell 的详细信息，请参阅“Windows PowerShell”(https://go.microsoft.com/fwlink/?LinkID=102372)（可能为英文网页）。
  
  

其他参考

• 使用身份验证和访问控制
  
  
• 使用 ADSI 编辑器管理 AD LDS 实例
  
  
• 了解 AD LDS 用户和组