Категории групп в AD DS 

Группы в AD DS работают в принципе тем же образом, каким работали в старых струк­турах, в Windows NT в частности, но имеют некоторые изменения в дизайне. Группы де­лятся на две категории по типу и по области действия. В AD DS существуют два типа групп: группы доступа и группы рассылки. Группы доступа используются для предоставления чле­нам группы прав доступа к объектам. Группы рассылки служат не для предоставления прав доступа, а для отправки почтовых сообщений членам группы. По области действия группы делятся следующим образом.

• Локальные группы компьютера (machine local groups). Локальные группы ком­пьютера, также называемые просто локальными группами, теоретически могут со­держать членов из любого доверяемого местоположения. В группы этого типа могут включаться пользователи и группы из локального домена, а также из других доверяе­мых доменов и лесов. Важно отметить, что локальные группы позволяют получать доступ к ресурсам только той машины, на которой они находятся, а это существенно снижает возможности их использования.
• Локальные группы домена (domain local groups). Локальные группы домена во многом подобны локальным группам Windows NT и используются для администри­рования ресурсов, содержащихся только в их собственном домене. Они могут содер­жать пользователей и группы из любых других доверяемых доменов. Чаще всего эти типы групп используются, чтобы предоставить доступ к ресурсам для групп, принад­лежащих другим доменам.
  
• Глобальные группы (global groups). Глобальные группы противоположны локаль­ным группам домена. Они могут содержать только пользователей домена, в котором существуют сами, но служат для предоставления доступа к ресурсам других доверяе­мых доменов. Эти типы групп наиболее удобны для назначения членства учетным за­писям пользователей, которые совместно выполняют сходные функции, например, из глобальной группы сбыта.
• Универсальные группы (universal groups). Универсальные группы могут содержать пользователей и группы из любых доменов леса и могут предоставлять доступ к лю­бому ресурсу леса. Но наряду с дополнительными возможностями существуют и не­приятные моменты. Во-первых, универсальные группы доступны только в доменах с функциональным уровнем Windows 2000 Native или выше. Во-вторых, все члены каждой универсальной группы хранятся в глобальном каталоге, что приводит к уве­личению объема репликации. Следует отметить, что система репликации данных о членстве в универсальных группах была существенно упрощена и оптимизирована в Windows Server 2008 R2 за счет добавления возможности выполнения инкрементной репликации данных о членстве.