Grupa - to zbiór obiektów katalogu AD (użytkowników, komputerów, innych grup) tworzony w celu uproszczenia podziału praw do zasobów.
Typy grup:
a) Grupa dystrybucji
- Nie jest stosowana do udostępniania zasobów,
- Nie służy do określania praw dostępu do zasobów,
Służy do rozsyłania poczty użytkownikom członkom grupy,
b) Grupa zabezpieczeń
- jest stosowana do przydzielania praw użytkownikom do zasobów,
- reguluje jakie prawa mogą posiadać członkowie grupy w stosunku do zasobu,
Zakres grup:
a) Grupy lokalne domeny
są stosowane do przydzielania praw do zasobów domeny lokalnej i praw do wykonywania zadań administracyjnych domenie lokalnej,
może zawierać członków z dowolnej domeny znajdującej się w zbiorze drzew,
członkami grupy lokalnej mogą być też inne grupy,
grupie lokalnej domeny można nadać prawo tylko w ramach domeny,
b) Grupy globalna
członkom grupy globalnej można nadawać prawa do zasobów oraz prawa administracyjne z wielu zaufanych domenach,
- nie mogą zawierać członków innych domen,
- członek grupy globalnej może posiadać prawo do zasobów z innych domen,
c) Grupy uniwersalne
- mogą zawierać użytkowników, grupy lub komputery z dowolnej domeny w lesie, informacje o członkach grupy uniwersalnej są replikowane między domenami,
- w każdej domenie powinna być optymalnie co najmniej jedna grupa uniwersalna, służą przydzielaniu praw do zasobów znajdujących się we wszystkich domenach lasu,
Zasady tworzenia grup:
- w grupie mogą się znajdować użytkownicy i grupy różnych typów,
- pojedyncza grupa może zawierać grupy globalne, uniwersalne lub lokalne domeny,
- nazwa grupy powinna być mówiąca,
- do grupy można przydzielić grupy wbudowane,
- grupy powinny być tworzone według określonego schematu,
- grupa powinna gromadzić przede wszystkim inne grupy niż duże ilości użytkowników.