有了用户之后，为了简化网络的管理工作，Windows Server 2008中提供了用户组的概念。用户组就是指具有相同或者相似特性的用户集合，可以把组看做一个班级，用户便是班级里的学生。当要给一批用户分配同一个权限时，就可以将这些用户都归到一个组中，只要给这个组分配此权限，组内的用户就都会拥有此权限。就好像给一个班级发了一个通知，班级内的所有学生都会收到这个通知一样。组是为了方便管理用户的权限而设计的。

组是指本地计算机或Active Directory中的对象，包括用户、联系人、计算机和其他组。在Windows Server 2008中，通过组来管理用户和计算机对共享资源的访问。如果赋予某个组访问某个资源的权限，这个组的用户都会自动拥有该权限。例如，网络部的员工可能需要访问所有与网络相关的资源，这时不用逐个向该部门的员工授予对这些资源的访问权限，而是可以使员工成为网络部的成员，以使用户自动获得该组的权限。如果某个用户日后调往另一部门，只需将该用户从组中删除，所有访问权限即会随之撤销。与逐个撤销对各资源的访问权限相比，该技术比较容易实现。

一般组用于以下3个方面：①管理用户和计算机对于共享资源的访问，如网络各项文件、目录和打印队列等；②筛选组策略；③创建电子邮件分配列表等。(www.daowen.com)

Windows Server 2008同样使用唯一安全标识符（SID）来跟踪组，权限的设置都是通过SID进行的，而不是利用组名。更改任何一个组的账户名，并没有更改该组的SID，这意味着在删除组之后又重新创建该组，不能期望所有权限和特权都与以前相同。新的组将有一个新的安全标识符，旧组的所有权限和特权已经丢失。在Windows Server 2008中，用组账户来表示组，用户只能通过用户账户登录计算机，不能通过组账户登录计算机。

注意：我们在前面介绍过组织单元（OU），两者是相同的概念吗？组织单元是域中包含的一类目录对象，它包括域中的一些用户、计算机和组、文件与打印机等资源。由于活动目录服务把域详细地划分成组织单元，而组织单元还可以再划分成下级组织单元，因此组织单元的分层结构可用来建立域的分层结构模型，进而可使用户把网络所需的域的数量减至最小。组织单元具有继承性，子单位能够继承父单位的访问许可树。域管理员可以使用组织单元来创建管理模型，该模型可调整为任何尺寸，而且域管理员可授予用户对域中所有组织单元或单个组织单元的管理权限。组和组织单元有很大的不同，组主要用于权限设置，而组织单元则主要用于网络构建；另外，组织单元只表示单个域中的对象集合（可包括组对象），而组可以包含用户、计算机、本地服务器上的共享资源，单个域、域目录树或目录林。