Группы в Active Directory работают практически точно так же, как и группы в Windows NT, за исключением некоторых модификаций. Как было отмечено ранее, область действия группы в Active Directory может быть нескольких типов: 
• Локальные группы компьютера (Machine Local Groups) - существовали еще в Windows NT 4.0 и теоретически могут содержать членов из любого доверяемого расположения. Пользователи и группы из локального домена, равно как и из других доменов и лесов, связанных доверительными отношениями, могут добавляться в эту группу. Однако локальные группы дают доступ только к ресурсам того компьютера, на котором они расположены, что значительно снижает полезность таких групп. В целях безопасности локальные группы в Exchange Server 2003 не используются.
• Локальные группы домена (Domain Local Groups) - используются для управления доступом к ресурсам только из того домена, в котором эти группы находится. Группа может содержать пользователей и группы из других доверяемых доменов и используется обычно для разрешения доступа к ресурсам в различных доменах.
• Глобальные группы (Global Groups) - противоположность группам локального домена. Они могут содержать пользователей только из того домена, в котором эти группы существуют, и используются для разрешения доступа к ресурсам из других доменов. Лучше всего создавать группы такого типа для настройки прав доступа пользователей, которые выполняют одинаковые функции, например, сотрудников отдела продаж.
• Универсальные группы (Universal Groups) - это группы, которые могут содержать пользователей из любых доменов из леса и используются для разрешения доступа к любым ресурсам леса. Применение этих групп ограничено несколькими моментами. Во-первых, универсальные группы доступны только в доменах Windows 2000/2003 Active Directory, работающих в собственном (Native) режиме. Во-вторых, информация обо всех членах каждой универсальной группы хранится в глобальном каталоге, тем самым увеличивая объем репликации. Хотя, по правде говоря, в Windows Server 2003 репликация универсальных групп была заметно упрощена и оптимизирована за счет внедрения ин-крементной репликации.
Роль универсальных групп особенно велика в Exchange Server 2003. Например, при переходе с Exchange 5.5 на Exchange 2003 списки рассылки преобразуются в универсальные группы для корректного применения прав доступа к общим папкам и календарю. Домен Active Directory, содержащий учетные записи с доступом к почтовым ящикам Exchange 5.5, должен работать в собственном режиме еще до начала процесса миграции. Дополнительную информацию о миграции можно получить в главе 15.