| Type | Scope | Members from | |
| Same domain | Domain same forest | ||
| Local | DL/G/U | G/U | |
| Domain Local | Domain | ||
| Global | forest | G | n/a |
| Universal |
仅 local/domain local组可以包括外部域的glboal组。
邮件分发列表和安全组可以相互转换。
global 和domain local 不能直接互相转换。
不同类型组间转换取决于各自间的成员。
BackupOperator可以文件或者文件夹本身的权限设置来备份/恢复任意文件。
域内建组:
服务器操作员:登录所有域控
账号操作员:登录域控,编辑除Domain Controller外所有OU成员。
打印操作员:管理打印机对象,登录和关闭域控
企业管理员:仅存在于域内第一台提升的域控上,有权限从林中添加或删除域
架构管理员:仅存在于域内第一台提升的域控上,只有此组有权限更改架构。
只读域控:不属于domain computers,也不属于domain controllers
DHCP用户:对DHCP服务器有只读权限
组策略创建者:编辑组策略
证书发布者:给用户或者电脑发现证书
特殊身份
成员由认证和连接方式决定,在本地电脑上存在
匿名登录:允许不使用用户名和密码登录
认证用户:从林中任意域包括林外信任域登录的用户;除guest账号外的本地账号
![好女人、好男人都是被另一半抛弃的对象。Goodwoman。好女人都是被另一半抛弃的对象。Goodmenarealways[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)