●AD域中組織單位和組的區別
    組(group)和組織單元(ou)有很大的不同。
    組主要用於許可權設定，而組織單元則主要用於網路構建；
    另外，組織單元只表示單個域中的物件集合（可包括組物件），而組可以包含使用者、計算機、本地伺服器上的共享資源、單個域、域目錄樹或目錄林。
    組織單位是ou，組是group；前者是個目錄，後者用來設定許可權。
    組織單元是域中包含的一類目錄物件如使用者、計算機和組、檔案與印表機等資源，是一個容器，可以在OU上部署組策略
    組在AD中可以理解為許可權目錄，它指定了使用者在AD中所具有的一些屬性，也可以理解為許可權的集合。
    組織單元是域中包含的一類目錄物件如使用者、計算機和組、檔案與印表機等資源。是一個容器。組織單元還具有分層結構可用來建立域的分層結構模型，進而可使使用者把網路     所需的域的數量減至最小（這點應該很好理解了吧，組織單元的分層肯定要比森林方便管理吧^_^）。組織單元具有繼承性，子單元能夠繼承父單元的acl。
    同時域管理員可授予使用者對域中所有組織單位或單個組織單位的管理許可權。就像一個公司的各個部門的主管，權力平均化能更有效的管理。


●AD域相關例項
    CN, OU, DC 都是 LDAP 連線伺服器的端字串中的區別名稱（DN, distinguished   name） 

    LDAP連線伺服器的連線字串格式為：ldap://servername（或192.168.xxx.xx地址）/DN   

    其中DN有三個屬性，分別是CN,OU,DC   

    LDAP是一種通訊協議，如同HTTP是一種協議一樣的！ 

    string ldap = "LDAP://192.168.xxx.xx/CN=潘 暁宇,OU=developer,DC=example,DC=local";

    Dim root As New DirectoryEntry(ldap, "pan_xy", "123456")

    在 LDAP 目錄中，

    ·DC (Domain Controller) 域控制器　例：domainname.com
    ·CN (Common Name) 為使用者名稱或伺服器名，最長可以到80個字元，可以為中文；例：pan_xy
    ·OU (Organizational Unit) 為組織單元，最多可以有四級，每級最長32個字元，可以為中文；例：developer

    LDAP 目錄類似於檔案系統目錄。 
    下列目錄： 
    DC=redmond,DC=wa,DC=microsoft,DC=com       
    如果我們類比檔案系統的話，可被看作如下檔案路徑:    
    Com\Microsoft\Wa\Redmond   
    
    例如：CN=test,OU=developer,DC=domainname,DC=com 
    在上面的程式碼中 
    cn=test 可能代表一個使用者名稱，
    ou=developer 代表一個 active directory 中的組織單位。

    這句話的含義可能就是說明 test 這個物件處在domainname.com 域的 developer 組織單元中。