本文转自:http://blog.csdn.net/lzlutao/article/details/3130938

从组的使用范围来分,可以分为三种:
  1. 全局组
  2. 本地域组
  3. 通用组
  1.全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组,可以访问任何一个域内的资源。
  2.本地域组具有所属域的访问权限,以便访问本域的资源。本地域组的成员可以是同一个域的本地域组,也可以是任何域内的账户、全局组和通用组,他们能访问的资源只是该本地域组所在域的资源。
  3.通用组可以访问任何一个域内的资源,通用组可以包含所有域内的用户账户、全局组和通用组。当然上面所说的访问权限是要经过设定的。
补充下:
本地组:该组只存在单个服务器中,只被授权访问本地服务器资源.
通用组:该组存在于森林中,被授权访问森林中任何地方以及其他森林的受信任域.
全局组:该组存在于域中,被授权访问森林中其他域以及其他森林的受信任域的资源.
本地组:该组存在于域中,只被授权访问该域的资源.
并且存在2个组类型:
1.安全组
2.发布组
安全组:通过将安全组SID添加到随机访问控制列表(DACL)可授予该组访问对象的权限.

分布组:只用于创建电子邮件列表(只能由Exchange Server使用,但是其他服务器程序可以利用该组),不能用作安全组使用.但是安全组也可以作为邮件列表使用.最佳实践是:如果满足要求的安全组不存在时才创建发布组.