Unter Windows gibt es verschiedene Gruppentypen, die hier kurz erklärt werden. 

Seit Windows 2000 gibt es zwei Typen von Gruppen: security und distribution.  Diese können jeweils drei Reichweiten (scopes) haben: universal, global und local.

Gruppentypen

Security

Sicherheitsgruppen kommen zum Einsatz, um Zugriff auf Ressourcen zu kontrollieren. Sie können auf eine Funktion als eMail-Verteilerliste haben.

Distribution

Reine Verteilerlisten können nur als solche eingesetzt werden (außer zu Zwecken der administrativen Gruppierung). Da sie nicht "security enabled" sind, kann mit Ihnen keine Zugriffskontrolle realisiert werden.

Im "native" Modus können die Gruppen jederzeit konvertiert werden, im "mixed"-mode wird der Gruppentyp beim Anlegen festgeschrieben!

Scopes

Universal groups

Diese können überall im Forest eingesetzt werden. Sie sind allerdings nur im "native"-mode verfügbar. Sie stellen für den Administrator eine Erleichterung dar, da sie keinen Beschränkungen unterliegen. Benutzer können ihnen direkt zugewiesen werden, sie dürfen geschachtelt werden (im Gegensatz zu den anderen Scope-Typen), die können in Access-Control-Lists (ACLs) verwendet werden, um Zugriffsberechtigungen in jeder beliebigen Domäne des Unternehmens abzubilden.

Universal Groups werden im global Catalog gespeichert, was bedeutet, das Veränderungen an ihnen dem Replikationszyklus unterliegen. D.h. jede Änderung an diesen Gruppen wird im kompletten Forest repliziert.

Global groups

Globale Gruppen sind üblicherwise der primäre Gruppentyp, in denen Benutzer gesetzt werden. Globale Gruppen können nur im Kontext der selben Domäne gesetzt werden, d.h. sie kommen nicht domänenübergreifend zum Einsatz.

Im native-mode können globale Gruppen ineinander geschachtelt werden, im mixed-mode können nur Benutzer oder lokale Gruppen zum Mitglied einer Globalen Gruppe gemacht werden.

Domain local

Diese Gruppen werden verwendet, um direkte Zuweisung von Berechtigungen auf ActiveDirectory-Objekte vorzunehmen, die nicht direkt im AD abgelegt sind (z.B. Freigaben, Druckerwarteschlangen etc.).

Sie sollten nicht zum Einsatz kommen, um Berechtigungen auf AD-Objekte zu setzen, da sie von anderen Domänen nicht ausgewertet werden können. Zugriffsbeschränkungen die über local groups auf AD-Objekte gesetzt werden greifen deshalb nicht, wenn GC-Abfragen aus Bereichen außerhalb der Domäne kommen, in dem sich die lokale Gruppe befindet.