Вложенность групп
Как и все объекты AD DS, группы должны легко идентифицироваться для устранения вероятности неоднозначного понимания их предназначения как среди конечных пользователей, так и среди администраторов. Следовательно, важно, чтобы для всех групп были установлены стандартные соглашения по именованию, которые затем доводились до сведения администраторов, занимающихся созданием этих групп. Применение этих соглашений упрощает определение, для чего предназначена та или иная группа, кто ею владеет и т.д.
Группы могут делаться вложенными, т.е. включаться в виде членов в другие группы для добавления множества членов известных групп в члены других групп. Подобная дополнительная гибкость позволяет сократить общее количество необходимых групп и объем усилий, требуемых для их администрирования.
Проектирование групп рассылки
При наличии соответствующей потребности в организации могут создаваться и группы рассылки, позволяющие отправлять SMTP-сообщения сразу множеству получателей. Важно помнить о том, что эти группы не имеют никаких ассоциируемых с ними SID-идентификаторов и, следовательно, не могут использоваться для назначения прав доступа. На самом деле в организациях, где не установлена какая-нибудь версия Microsoft Exchange Server, группы рассылки требуется создавать очень редко. Однако понимать их роль и потенциал все равно очень важно для определении надлежащего способа проектирования структуры групп.