AD DS的域組分爲兩種類型安全組、通用組且他們兩個之間可以相互轉換
安全組(Security Group):用來分配權限。例如可以指定安全組對某個文件具備讀寫的權限
通用組(Distribution Group):用在域安全無關的工作上,例如可以作爲通訊組發送電子郵件,但是無法爲通用組分配權限
組的使用範圍分爲:本地域組、全局組、通用組
1.本地域組(Domain Local Group):主要被用來分配所屬域內的訪問資源權限,以便可是訪問該域內的資源,其成員可以包含任何一個域內的用戶、全局組、通用組;也可以包含相同域內內的的本地域組;但無法包含其他域內的本地域組。本地域組只能訪問該域內的資源,無法訪問其他不通域內的資源;
2.全局組(Global Group):主要用來組織用戶,也就是可以將多個即將被賦予相同權限的的用戶賬戶加入到同一個組之內。全局組可以訪問任何一個域的資源,也就是說可以在任何一個域內設置全局組的權限(這個全局組可以位於任何一個域內)以便讓此全局組具備權限來反問該域內的資源。
3.通用組(Universal Group):他可以在所有域內被分配訪問權限,以便訪問域內的資源。通用組具備萬用領域的特性,起成員可以包含林中任何一個域內的用戶、全局組、通用組。但是它無法包含任何一個域內的本地域組。通用組可以訪問任何一個域的資源,也就是說可以在任何一個域內設置通用組的權限(這個通用組可以位於任何一個域內)以便讓此通用組具備權限來反問該域內的資源。
下表中展示了域內組的一些特性:
| 本地域組 | 全局組 | 通用組 | |
可包含哪些成員 | 所有域內的用戶、全局組、通用組;相同域內的本地域組 | 相同域內的用戶與全局組 | 所有域內的用戶、全局組、通用組 |
| 可以在哪一個域內被分配權限 | 同一個域 | 所有域 | 所有域 |
| 組轉換 | 可以被轉換成通用組(只要原組內的成員不包含本地域組即可) | 可以被轉換成通用組(只要原組不隸屬於任何一個全局組即可) | 可以被轉換成本地域組;可以被轉換成全局組(只要原組內的成員不包含通用組即可) |