与用户账户一样，可以分别在本地和域中创建组账户。

●创建在本地的组账户：可以在Windows Server 2008/2003/2000/NT独立服务器或成员服务器、Windows XP、Windows NT Workstation等非域控制器的计算机上创建本地组。这些组账户的信息被存储在本地安全账户数据库（SAM）内。本地组只能在本地机使用，它有两种类型：用户创建的组和系统内置的组。

●创建在域的组账户：该账户创建在Windows Server 2008的域控制器上，组账户的信息被存储在Active Directory数据库中，这些组能够被使用在整个域中的计算机上。

组分类方法有很多，根据权限不同，组可以分为安全组和分布式组。

●安全组：安全组主要用于控制和管理资源的安全性。如果某个组是安全性的组，则可以在共享资源的属性对话框中，选择“共享”选项卡，并为该组的成员分配访问控制权限，例如设置该组的成员对特定文件夹具有“写入”的访问权限。除此之外，还可以使用该组进行管理，如可以将信使所发送的信息发送给该组的所有成员。

●分布式组：通常分布式组管理与安全性质无关的任务。例如，可以将信使所发送的信息发送给某个分布式组，但是却不能为其设置资源的权限，即不能在某个文件夹属性对话框的“共享”选项卡中为该组的成员分配访问控制权限。

提示：①仅在支持活动目录的计算机上才能使用分布式组；②用户建立的应用型组和系统内置或预定义的内置组与用户组大都是安全组；③一个账户可以不隶属于任何的组，也可以同时隶属于多个组，使用组账户可以方便和简化账户的管理，因为在赋予组的权限和许可时，对于组中所有账户的成员都会生效。

在域中，每个安全组和分布式组均有作用范围。根据组的作用范围，Windows Server 2008域内的组又分为通用组、全局组和本地域组，这些组的特性说明如下。

1.通用组

通用组可以指派所有域中的访问权限，以便访问每个域内的资源。通用组具有以下特性。

●可以访问任何一个域内的资源。(www.daowen.com)

●成员能够包含整个域目录林中任何一个域内的用户、通用组、全局组，但无法包含任何一个域内的本地域组。

2.全局组

全局组主要用来组织用户，即可以把多个即将被赋予相同权限的用户账户加入到同一个全局组中。全局组具有以下特性。

●可以访问任何一个域内的资源。

●成员只能包含与该组相同域中的用户和其他全局组。

3.本地域组

本地域组主要被用来指派在其所属域内的访问权限，以便可以访问该域内的资源。本地域组具有以下特性。

●只能访问同一域内的资源，无法访问其他不同域内的资源。

●成员能够包含任何一个域内的用户、通用组、全局组以及同一个域内的本地域组，但无法包含其他域内的本地域组。