AD: В чем разница между локальными, глобальными и универсальными группами?

Разница сводится к тому, где назначаются разрешения и могут ли члены разных доменов быть добавлены в качестве членов группы.

• Локальный домен

  • Разрешения можно назначать только в локальном домене.
  • Члены могут быть из любого домена в лесу.
  • Предназначен для использования с объектами, не входящими непосредственно в AD, такими как общие файловые ресурсы, очереди печати и т. Д.
  • Не следует использовать для назначения разрешений объектам AD (например, подразделениям, учетным записям пользователей и т. Д.), Поскольку они не могут быть оценены в других доменах.

• Глобальный

  • Разрешения могут быть назначены в любом домене.
  • Члены должны быть в том же домене, что и группа.

• Универсальный

  • Разрешения можно назначить в любом месте леса.
  • Члены могут быть из любого домена в лесу.

Источники:

• Тип группы и область применения в Windows (Microsoft KB231273)
• Группы безопасности Active Directory
• В чем разница между универсальными, глобальными и локальными доменными группами в Active Directory?

Разница в том, какие группы / пользователей вы можете включать в разные группы, какие разрешения можно назначить этой группе и можно ли преобразовать группу.

Если у вас есть только один домен и одно дерево, и вы знаете, что оно останется таким навсегда, вам действительно не нужно много знать об этом. Но я настоятельно рекомендую вам прочитать это: http://technet.microsoft.com/en-us/library/cc755692%28WS.10%29.aspx

Вы возненавидите человека, создавшего группы, в первую очередь, если вам когда-нибудь придется исправить его ошибку. Мне пришлось, и это неинтересно.