[转]Difference among Domain Local Group and Global Group and Universal Group

全局组：可以全局使用。即：可在本域和有信任关系的其它域中使用，体现的是全局性。MS建议的规则：基于组织结构、行政结构规划。

域本地组：只能在本域的域控制器DC上使用。MS建议的规则：基于资源（夹、打印机……）规划。
Global groups may only contain user accounts and global groups from the same domain as members.
Membership of global groups is maintained in the domain where the domain local group exists Global groups are used for combining users who share a common access profile based on job function or business role.
Typically, organizations use global groups for all groups where membership is expected to change frequently.
These groups can only have as members user accounts defined in the same domain as the global group. Global groups can be nested to allow for overlapping access needs or to scale for very large group structures. The most convenient way to grant access to global groups is by making the global group a member of a resource group that is granted access permissions to a set of related resources.

在域的混合模式下，只能把全局组加入到域本地组，即AGDLP原则。

注意：2000/03域的默认模式为：混合模式。则域本地组：只能在本域的域控制器DC上使用。若域功能级别转成本机模式（或称2000纯模式），甚至03模式，域本地组可在全域范围内使用。

说明：全局组和域本地组的关系，非常类似于域用户帐号和本地帐号的关系。域用户帐号，可以全局使用，即在本域和其它关系的其它域中都可以使用，而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明（以混合模式下为例）：
　　例1：将用户张三（域帐号Z3）加入到域本地组administrators中，并不能使Z3对非DC的域成员计算机有任何特权，但若加入到全局组Domain Admins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。
　　例2：只有在域的DC上，对资源（如：文件/夹）设置权限，你可以指派域本地组administrators；但在非DC的域成员计算机上，你是无法设置域本地组administrators的权限的。因为它是域本地组，只能在DC上使用。

通用组：组的成员情况，记录在全局目录GC中，非常适于林中跨域访问使用。集成了全局组和域本地组的长处。