Active Directory 组类为组中的成员资格定义了两个组类型和三个作用域。 类型和作用域由 groupType 特性控制,在 Active Directory 中创建一个组以及通过修改特性更改该组后,可通过 Identity Manager 策略设置 groupType 特性。
组可以保存对象参照的集合。 分发组类型不向其成员指定任何特殊的权限或特权,并通常用作 Exchange 的分发列表。 安全组类型是安全主体。 其成员可接收组的权限和特权。 安全组具有一个 pre-Windows 2000 登录名 (samAccountName) 和一个安全标识符 (SID),可以在其它对象的安全描述符 (SD) 访问控制列表 (ACL) 中使用该 SID。
组作用域控制异域中的对象是否可以是组的成员,以及组本身是否可以是另一个组的成员。 三个作用域是《本地域》、《全局》和《通用》。 这些作用域的工作方式,或者作用域是否完全有效,取决于 Active Directory 是否以 Windows 2000 混合方式、Windows 2000 纯方式或 Windows 2003 方式运行。
一般而言,《本地域》组可以保存对林中任何位置的对象的参照,但只能在域中为这些组指派许可权限。 《全局》组与此相反。 它们只能保存对域中对象的参照,但是可以通过林为这些组指派许可权限。 《通用》组可以保存参照,并且可以通过林为这些组指派许可权限。 但是《通用》组自身存在一些限制和性能问题。 应该在遵照 Microsoft 建议的条件下创建和使用这些组。
groupType 特性是一个 32 位整数,它的位可定义类型和作用域。 在任何给定的时间,组只能有一个作用域。