创建OU
　　
　　OU的创建需要在DC(域控制器)中进行，创建步骤如下：
　　
　　第1步 以Administrator(系统管理员)身份登录域控制器。然后依次单击“开始/管理工具/Active Directory用户和计算机”菜单，打开“Active Directory用户和计算机”控制台窗口。
　　
　　第2步 在左窗格中用鼠标右键单击域名，并在弹出的快捷菜单中执行“新建/Organizational Unit”命令。
　　
　　第3步 打开“新建对象-Organizational Unit”对话框，在“名称”编辑框中键入新的OU的名称(如“广告信息部”)，并单击“确定”按钮，如图1。
　　　
　　图1创建OU
　　
　　在OU中添加用户
　　
　　完成OU的创建以后，现在需要把公司广告信息部的所有员工账户都放入该OU中。具体实现步骤如下：
　　
　　第1步 在“Active Directory用户和计算机”控制台窗口中展开“Users”容器，同时选中所有合适的用户账户。然后在选中状态下右击这些用户账户，在弹出的快捷菜单中执行“移动”命令。
　　
　　第2步 在打开的“移动”对话框中展开域名目录树，并单击选中刚才创建的“广告信息部”OU。然后单击“确定”按钮即可将这些用户账户添加到该OU中，如图2。
　　　
　　
　　权限委派
　　
　　所谓“权限委派”就是将控制一组用户或计算机的能力赋予另一个用户(组)的过程。在本例中，阿昊将具有修改“广告信息部”OU中用户密码的权限委派给用户“chenchen”。具体实现步骤如下：
　　
　　第1步 在“Active Directory用户和计算机”窗口中找到并右击“广告信息部”OU，在弹出的快捷菜单中执行“委派控制”命令，打开“控制委派向导”，单击“下一步”按钮。
　　
　　第2步 打开“用户和组”向导页，在这里可以将对该OU拥有修改密码权限的用户账户添加进来。单击“添加”按钮，通过高级查找功能将用户“chenchen”添加进来，单击“下一步”按钮。
　　
　　第3步 在打开的“要委派的任务”向导页中列出了可以委派的任务列表。在“委派下列常见任务”列表框中勾选“重设用户密码并强制在下次登录时更改密码”复选框，单击“下一步”按钮，如图3。
　　　
　　图3 选择任务
　　
　　第4步 最后单击完成按钮结束权限委派。现在用户“chenchen”已经拥有了重设“广告信息部”OU中用户账户密码的权限了。
　　
　　高级权限委派
　　
　　其实关于权限委派还有一些更加高级的功能，可以通过高级设置来实现较为复杂的设置。例如阿昊准备为用户“chenchen”在“广告信息部”OU中增加创建和删除用户的权限，这时可以通过高级权限委派来实现。具体操作步骤如下：
　　
　　第1步 在“Active Directory用户和计算机”窗口中依次单击“查看/高级功能”菜单，切换至高级功能窗口。
　　
　　第2步 在左窗格中右击“广告信息部”OU，在弹出的快捷菜单中执行“属性”命令，打开“广告信息部 属性”对话框。单击“”标签，切换至“安全”选项卡。
　　
　　第3步 接着单击“高级”按钮，打开“广告信息部 的高级安全设置”对话框。在该对话框中的“权限”选项卡中，“权限项目”列表中列出了对该OU拥有相应权限的用户(组)。单击“添加”按钮找到用户“chenchen”，在打开的“广告信息部 的权相项目”对话框中，勾选“权限”列表中的“创建 account 对象”和“删除 account 对象”复选框。依次单击“确定”按钮，如图4。
　　
　　图4 委派权限
　　
　　经过这样的设置，用户“chenchen”已经拥有了在“广告信息部”OU中创建和删除用户账户的权限了。由此不难看出，通过高级权限委派可以实现非常灵活的权限委派操作。
--------------------next---------------------