Из переписки…

В чем разница между  OU - Security и Distribution ?

Во-первых, Security или Distribution бывают только группы, а не OU (Organizational Units)!

Во-вторых, Security Group - это то, что нам обычно нужно. Таким группам можно давать права и разрешения на объекты.
Distribution Group - это немного особый случай, они обычно нужны для почты (Exchange Server). С помощью Distribution Groups можно создавать списки рассылки - для спама, так сказать. Права и разрешения (на папки, файлы или OU) при их помощи задавать нельзя. Поэтому их называют Distribution Group (Группами Распространения) а не Security Groups (Группами Безопасности).

Рассказывают, как сделать добавление юзеров и прочие операции через командную строку. Неужто так делают до сих пор??? Ведь графический интерфейс проще и удобнее!

Нет, нет - это, ле-Азазель, не устаревшие методы из эпохи DOS.

Наоборот - только передовые админы (типа Кота-Бегемота) владеют ими.

Представьте себе, что есть люди, которым проще и удобнее написать одну строчку, чем продираться через дебри окошек и кликов мышкой. Когда появился Windows, люди разделились на два клана - мышисты и клавишисты. Каждый считал, что его способ быстрее и оптимальнее. Я, лично, за их разумное совмещение, потому что так можно добиться наибольшей скорости.

Но дело даже не в этом. Если вам нужно создать 2,000 пользователей в домене одним махом - это не то же самое, что создать двоих. В таком случае появляется мысль, что нужно каким-то образом автоматизировать процесс.
Вообще, есть люди, готовые просидеть 2 часа, чтобы автоматизировать процесс, который занял бы у них пол-часа вручную. Зато, как приятно видеть, что автомат срабатывает за 1 минуту! Но в этом сумасшествии м.б. смысл, когда одно действие нужно делать много раз. Кроме того - это этгар (на иврите) или challenge (на русском не подберу соответствия, м.б. вызов), а принимать вызов – свойство хорошего сисадмина.
Вообще, команды хороши, когда их используют в скриптах, например, batch-файлах. Скрипты как раз и предназначены для автоматизации повторяющихся рутинных задач.

И вообще, зря что ли Мелкософт придумал PowerShell (Vista / 7 / Server 2008). Это они подражают Linux, где всегда была сильная командная строка (в отличие от DOS / Windows). И скрипты теперь можно сильные делать. А еще раньше существовали такие команды, как netsh, которая чудеса творила (и творит).
А графика - это для дома, для старых бабушек !

N.B.

Но, на самом деле, сам я создаю пользователей таки в GUI .

Может, потому, что по 2,000 не приходится ?

Схема Администратор - что это за зверь такой и в чем его задача состоит ?

Схема Администратор - по определению - администрирует схему .

Вразумительно ?

Но на самом деле вопрос нужно ставить по-другому - что такое схема.

Если очень кратко - схема это Конституция для леса Active Directory (и доменов этого леса, соответственно). В схеме определено, какого рода объекты могут существовать в данном лесу (пользователи, компьютеры и т.д.) и какими свойствами они обладают (имя логина, телефон, размер обуви, цвет глаз и т.д.). Можно сказать, что схема содержит шаблоны объектов - такие шаблоны называют классами. Свойства объектов называются атрибутами и они также определяются схемой.

Когда мы создаем нового пользователя, он создается по некоторому шаблону. Иными словами, в момент создания нового объекта в Active Directory нам приходится выбирать из существующего набора классов объектов и мы, в данном случае, выбираем класс пользователей.

Теперь об атрибутах. На самом деле, классы без атрибутов не имеют смысла. Это как бы объекты, лишенные свойств, все равно, что человек без головы, рук, ног и туловища. Собственно говоря, атрибуты и определяют объект. Если атрибутом является толщина панциря, можно предположить, что мы имеем дело с объектом "Динозавр" (хотя, кто сказал, что цвет глаз у него отсутствует, ну а обуви он может и не носить).

Схему можно расширять. Вручную это делают нечасто, но есть программы, которые умеют это делать.

Exchange Server (почтовый сервер), например, может увеличить схему, т.е. количество объектов в ней, раза в два.

А Схема Администратор просто имеет право вносить изменения в эту самую схему, что очевидно. Теперь, надеюсь, понятно ?

Переводя с русского на русский. Схема это некий шаблон домена?
То есть, если в этой схеме написано, что существует почтовый сервер плюс могут быть группы менеджеров и бухгалтеров с наборов атрибутов - то это и есть шаблон ?

М-да. Ну, скажем так: схема - это не шаблон домена вообще, а шаблон тех объектов, из которых домен и лес состоят.
Объектами могут быть - группы, пользователи, компьютеры, принтеры, расшаренные папки и даже программы - много чего.
В схеме объекты не являются конкретными конечными объектами, "готовыми к употреблению".
Это всего-лишь заготовки, на основе которых строятся реальные вещи.
Если представить себе, что есть Б-г и у него есть шаблон человека, то каждый родившийся ребенок будет создан по его образу и подобию и иметь атрибуты (т.е. свойства), такие как 2 глаза, 2 ноги, 2 руки и кое-что в единственном числе (я имею ввиду сердце, конечно). Конкретный атрибут, может отличаться своим значением (на англ. values), например длиной ног или цветом глаз, но факт тот, что у всех (почти) есть 2 руки и 2 ноги.
Шаблонов в схеме должно быть столько, сколько типов объектов нам необходимо для работы.
Если нам нужны только ежики (в любом количестве), то нужно создать только один шаблон, который будет храниться в схеме. Свойством ежиков м.б. колючки, значит мы создадим в схеме один атрибут под названием "колючки". Этот атрибут мы присоединим к объекту "ежик" на уровне схемы. Тогда, все вновь создаваемые ежики будут автоматически иметь "колючки" в качестве свойства.
С другой стороны, мы можем создать в схеме еще один объект "кактус" и присоединить к нему атрибут "колючки", который уже существует.
Тогда все вновь создаваемые "кактусы" будут автоматически иметь "колючки" в качестве свойства.

Из этого примера видно, что атрибут "колючки" существует в схеме независимо от класса (шаблона) объекта, для которого он первоначально создавался. Поэтому атрибуты можно использовать повторно и присоединять их к другим классам.

Итак, еще раз. Шаблоны объектов мы называем классами, а свойства объектов мы называем атрибутами. Более того, что бы запутать вас еще больше, скажу, что классы и атрибуты объектов сами по себе являются объектами и их так и называют – объекты классов и объекты атрибутов. Только, в отличие от обычных объектов, они являются шаблонами, на основе которых создаются обычные “рабочие” или конечные объекты.

Да, кстати, в схеме нет конкретных названий групп - менеджеры, бухгалтера и т.д. Там есть определения абстрактных групп разных типов - глобальных, локальных и т.д.
А когда в "Active Directory Users and Computers" мы создаем группу, она создается по шаблону (классу) из схемы. Например, мы можем создать глобальную группу и как-нибудь ее назвать - "Крутые специалисты по Активной Директории" или там  "Хор девочек-пенсионерок".
Таких названий в схеме, конечно, нет и не будет, т.к. в схеме есть шаблоны абстрактных групп определенных типов, например, локальных или глобальных.