Учетные записи могут быть сгруппированы по организационным единицам (что существенно отличается от плоской структуры имен в предыдущих версиях Windows NT).
• Административные права на создание и управление группами учетных записей пользователей могут быть делегированы на уровень организационных единиц. При этом устанавливаются дифференцированные права доступа к отдельным свойствам пользовательских объектов.
Например, группа пользователей может изменять параметры пароля, но не имеет доступа к другой учетной информации.