活动目录中组的类型和可用范围

1.1.1 组的类型


安全组
安全组有安全标识（SID），能够给其授权访问本地资源或网络资源。即能授权访问资源，也可以利用其群发电子邮件。
通讯组
通迅组没有安全标识（SID），不能授权其访问资源，只能用来群发电子邮件。如果您安装了微软的邮件系统Exchange，可以创建一些专门群发电子邮件的通讯组。这样您就可以在收件人写通讯组的电子邮件地址，邮件服务器会读取通迅组的成员，将电子邮件发送到该组的所有成员。
1.1.2 组的作用域


全局组
代表的是同类用户身份的用户帐户。
创建全局组是为了合并工作职责相似的用户的账户，比如为了合并研发部的员工，可以创建一个“研发部员工”全局组，为了合并销售部的员工，可以创建一个“销售部员工”的全局组，当然如果想合并部门经理的用户帐户，您可以创建“研发部经理”全局组、“销售部经理”全局组。
只能将本域的用户和组添加到全局组。在多域环境中不能合并其他域中的用户。
能够授权访问整个域中的资源，在多域环境中其他域的资源也能授权其访问。
本地域组
代表的是对某个资源的访问权限。
创建本地域组的目的是针对某资源的访问情况而创建的，比如在网络上有一个激光打印机，针对这个打印机的使用，您可以创建一个“激光打印机使用者”本地域组。然后授权该组使用该打印机。您可以针对FileServe服务器上“公共空间”文件夹创建一个“公共空间访问者”本地域组，然后授予该“公共空间访问者”对“公共空间”的读写权限。
自己创建的本地域组，可以在授权访问本域计算机上的资源，它代表的是访问资源的权限。
其成员可以是本域的用户、组或其他域的用户组。
只能授权其访问本域资源，其他域中的资源不能授权其访问。
通用组
和全局组的作用一样，目的是根据用户的职责合并用户。
于全局组不同的是，在多域环境中它能够合并其他域中的域用户帐户，比如可以把两个域中的经理帐户添加到一个通用组。
在多域环境中，可以在任何域中为其授权。