The difference between group is made by two things: membership and scope
Membership Scope

- DLG User and group from same Forest Same domain
- GG Same Domain Forest
- UG User and group from same Forest Forest

Furthermore the use of DLG depend on the domain's mode: mixed-mode (same as WinNT domain) and native-mode (the DLG is visible (the scope is enlarged also for the member servers and workstations).
Domain local groups grant permissions to objects within the domain in which the reside. Global groups contain grant permissions tree or forest wide for any objects within the Active
 
全局组:可以全局使用。即:可在本域和有信任关系的其它域中使用,体现的是全局性。MS建议的规则:基于组织结构、行政结构规划。

域本地组:只能在本域的域控制器DC上使用。MS建议的规则:基于资源(夹、打印机……)规划。
Global groups may only contain user accounts and global groups from the same domain as members.
Membership of global groups is maintained in the domain where the domain local group exists Global groups are used for combining users who share a common access profile based on job function or business role.
Typically, organizations use global groups for all groups where membership is expected to change frequently.
These groups can only have as members user accounts defined in the same domain as the global group. Global groups can be nested to allow for overlapping access needs or to scale for very large group structures. The most convenient way to grant access to global groups is by making the global group a member of a resource group that is granted access permissions to a set of related resources.

在域的混合模式下,只能把全局组加入到域本地组,即AGDLP原则。

注意:2000/03域的默认模式为:混合模式。则域本地组:只能在本域的域控制器DC上使用。若域功能级别转成本机模式(或称2000纯模式),甚至03模式,域本地组可在全域范围内使用。

说明:全局组和域本地组的关系,非常类似于域用户帐号和本地帐号的关系。域用户帐号,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明(以混合模式下为例):
  例1:将用户张三(域帐号Z3)加入到域本地组administrators中,并不能使Z3对非DC的域成员计算机有任何特权,但若加入到全局组Domain Admins中,张三就是域管理员了,可以在全局使用,对域成员计算机是有特权的。
  例2:只有在域的DC上,对资源(如:文件/夹)设置权限,你可以指派域本地组administrators;但在非DC的域成员计算机上,你是无法设置域本地组administrators的权限的。因为它是域本地组,只能在DC上使用。

通用组:组的成员情况,记录在全局目录GC中,非常适于林中跨域访问使用。集成了全局组和域本地组的长处。
 
A good example is if you have an accounting share and there are many different global groups that need access to this share. Rather than adding many different global groups to give the same access (lets say Read permissions) to this share you can create one Domain Local group named "DL Accounting Read" and put all of the global groups that need read access to the share within this group. This allows for setting permissions for multiple groups though one easily managed group on the permissions and security tab of the share. This helps because you can then avoid the situation of where a user is a member of more than one global group and one of those global groups permissions are configured incorrectly you have to go through each one to figure out which. Overall it makes management much easier. Although this is a best practice, if you have a small enough environment that will not be expanding quickly you can manage permissions through Global Groups just as effectively. But if your environment is mid-size to large you will definately want to put in the extra time initially as using A-G-DL-P will make your life much easier.
全局组(Global Group):可以全局使用。即:可在本域和有信任关系的其它域中使用,体现的是全局性。MS建议的规则:基于组织结构、行政结构规划。

域本地组(Domain Local Group):只能在本域的域控制器DC上使用。MS建议的规则:基于资源(夹、打印机……)规划。

在域的混合模式下,只能把全局组加入到域本地组,即AGDLP原则

注意:2000/03域的默认模式为:混合模式。则域本地组:只能在本域的域控制器DC上使用。若域功能级别转成本机模式(或称2000纯模式),甚至03模式,域本地组可在全域范围内使用。

说明:全局组和域本地组的关系,非常类似于域用户帐号和本地帐号的关系。域用户帐号,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明(以混合模式下为例):
  例1:将用户张三(域帐号Z3)加入到域本地组administrators中,并不能使Z3对非DC的域成员计算机有任何特权,但若加入到全局组Domain Admins中,张三就是域管理员了,可以在全局使用,对域成员计算机是有特权的。
  例2:只有在域的DC上,对资源(如:文件/夹)设置权限,你可以指派域本地组administrators;但在非DC的域成员计算机上,你是无法设置域本地组administrators的权限的。因为它是域本地组,只能在DC上使用。

通用组:组的成员情况,记录在全局目录GC中,非常适于林中跨域访问使用。集成了全局组和域本地组的长处。

AGDLP
A (account):用户帐户
G (Global group):全局组
DL (Domain local group):域本地组
P (Permission):许可
按照AGDLP的原则对用户进行组织和管理起来更容易
在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了

   组是可包含用户、计算机和其他组的活动目录或本机对象。使用组可以控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录、打印机等共享资源的访问,还可以向一组用户发送电子邮件。
  在Windows 2000域中,组根据其类型可以分为安全组(Securiy Group)和分布组(Distribution),根据其范围又可以分为全局组(Global Group)、域本地组(Domain Local Group)和通用组(Universal Group)。组的类型决定组可以管理哪些类型的任务,组的范围决定组可以作用的范围。
  1. 组的类型
  (1)分布组:分布组一般用于组织用户。使用分布组可以向一组用户发送电子邮件,由于它不能用于与安全有关的功能,不能列于资源和对象权限的选择性访问控制表(DACL)中。因此,只有在电子邮件应用程序(如Exchange)中才用到分布组。
  (2)安全组:安全组一般用于与安全性有关的授权功能。使用安全组可以定义资源和对象权限的选择性访问控制表(DACL),控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录和打印机等资源和对象的访问。安全组中的成员会自动继承其所属安全组的所有权限。
  安全组具有分布组的全部功能,也可用作电子邮件实体。当向安全组发送电子邮件时,会将邮件发给安全组的所有成员。
  2. 组的范围
  (1)全局组:
 表1 全局组的成员关系和范围
 
混合模式
本机模式
可包含的成员
本域中的用户账号
 
可加入的组
域本地组
 
作用范围
在本域和所有的信任域中都是可见的
权限范围
森林中所有的域

(2)域本地组:域本地组的成员关系和范围
 
混合模式
本机模式
可包含的成员
任何域中的用户账户和全局组
森林中任何域中的用户账户、全局组和通用组以及本域中的域本地组
可加入的组
不能是任何组的成员
本域中的域本地组
作用范围
只在其自己的域中可见
权限范围
域本地组所在的域

(3)通用组:域本地组的成员关系和范围见表3。

 
混合模式
本机模式
可包含的成员
不能创建通用组
森林中任何域中的用户账户、全局组和其他的通用组
可加入的组
不能创建通用组
任何域中的域本地组和通用组
作用范围
在森林中的所有域中都是可见的
权限范围
目录林中的所有域

如果要在域目录林中实现对于资源(可以是文件夹或打印机)的访问授权,推荐使用 “AGDLP”规则。即首先把用户账户(Account)加入到全局组(Global group),然后把全局组加入到域本地组(Domain Local group,可以是本域或其他域的域本地组),最后,对于域本地组进行授权(Permissions)。

到了现在,你可能在想“为什么我要用其它组类型,而不用通用组?它给了我要的一切!”答案是,因为通用组和它的成员被列在全局编目里 (GC)。

  每次GC在你的森林的域之间复制时,都包括通用组的成员。与通用组类似,全局组和域本地组也被列在GC里,但是,它们的成员并不列在GC中。通过在合适的位置使用全局组和域本地组,你能够减小你的AD DC的尺寸,这样就会明显地降低保持GC最新所产生的复制流量。

  在选择组范围时,应当仔细选择。在你的域运行在混合模式下时,你不能改变组的范围。如果你运行在纯(Native)模式,就允许你把全局组转变通用组,前题是全局组不是另外一个全局的成员,也可以把域本地组转变成通用组,前提是域本地组中不包括另一个域本地组作为它的成员。

  现在知道了组的范围,再让我们简略地谈谈建立新组最简单的部分-组的名称。在你为组起名时,全局组和域本地组在你创建它们的域里必须是唯一的。而通用组,则必须在整个森林里是唯一的。 特别注意的是,由于GC中不仅包含通用组,还包含有通用组的成员信息,因此每次对通用的修改(成员增加/删除),都会引发GC复制流量。所以,通用组的成员不要经常频繁的发生变化。否则会带来大量的复制流量。另外,WIN2000在登录时系统需要向GC查询用户的通用组成员身份 ,以生成访问令牌,所以在GC不可用时,WIN2000用户有可能不能正常访问网络资源。