组 (Group) 是用户和计算机账户、 联系人以及其他可作为单个单元管理的组的集合。 属于特定的用户和计算机称为组成员 。 使用组可以同时为多个账户指派一组公共的权限， 简化管理。 AD 中的组是驻留在域和组织单位容器对象中的日录对象。 AD 在安装时提供一系列默认的组， 也允许管理员创建组。

1. 组的类型

Wndows Server 2008的AD 中有两种类型的组，如图2-57所示。

(1) 安全组。

管理员 日常管理中通常是使用安全组而不是为用户账户单独设置权限来进行网络的维护和管理 。 将用户账户加入到相应的安全组中印可使安全组中包含的用户拥有一样的权限 。

(2)通讯组。

通讯组没有安全方面的功能， 只能用于电子邮件的通讯， 里面存储联系人和用户账户 。1组的作用域

创建安全组时， 组的作用域有3种:

(1)本地域。 '，，具有本地作用域的组可以将其作为来自市hdowsSe算er2003或 南mdows◆ 域的组和账

户，且可用于仅在域中授予权限。具有本地作用域的组成为本地组。

(2)全局。

， 有全局作用域的组可将其成员作为仅来自组所定义的域的组和账户， 并且在域林中的任何或中都可获得权限。有全局作用域的组成为全局组。

图2-57 AD中的组