Active Directory 群組類別會定義兩種群組類型,並定義三種群組成員資格的範圍。 類型和範圍是由 groupType 屬性 (可以在 Active Director 中建立群組後,透過 Identity Manager 規則設定該屬性) 控制,並可透過修改該屬性加以變更。
群組包含物件參考的集合。 「配送群組」類型不會向其成員授予特殊的權限或特權,因此通常用做 Exchange 的配送清單。 「安全性群組」類型是安全性主體,其成員具有該群組的權限和特權。 「安全性群組」具備 Windows 2000 以前的登入名稱 (samAccountName) 和安全性識別碼 (SID),該識別碼可用於其他物件上的安全性描述詞 (SD) 存取控制清單 (ACL),以便向其成員授予或拒絕權限及特權。
「群組」範圍會控制來自域外領域的物件能否成為群組的成員,以及群組本身能否成為另一個群組的成員。 三個範圍分別是「領域本地」、「全域」和「通用」。 這些範圍的運作方法及範圍是否完全有效,均取決於 Active Directory 是在「Windows 2000 混合」、「Windows 2000 原始」還是 Windows 2003 模式中。
一般而言,「領域本地」群組可以保留對樹系中任意位置之物件的參考,但是只能獲得該領域內的許可。 「全域」群組則恰好相反。 它們只能保留對領域內部物件的參考,但可以獲得整個樹系內的許可。 「通用」群組可以保留參考,並可以獲得整個樹系的許可。 但是,「通用」群組還帶有其自身的限制和效能問題。 應當遵照 Microsoft 的建議來建立和使用群組。
groupType 屬性是一個 32 位元的整數,其位元會定義類型和範圍。 在任一指定的時間,群組的範圍必須是單一的。