網域資源(印表機、檔案...)的存取權限雖然可以直接指派給user，但使用上針對每個帳戶指派權限是沒有效率的，也不易維護，因而產生群組(Group)的概念

群組多可分為

• 安全性群組(Security Group)
  如同user帳戶，安全性群組也有unique的SID，因此我們可把權限指派給他，如此也會使得該群組都擁有這個群組的權限

• 發布群組(Distribution Group)
  發布群組沒有SID，因此不能賦予權限。主要用來將成員的電子郵件組成電子郵件清單，寄信給清單內的所有成員。其角色相當於Microsoft Exchange Server的電子郵件發送清單(Distribution List)

安全性群組

分網域本機群組、全域群組、萬用群組

規劃群組的原則

• 單一網域內，將user帳戶組成全域群組，再將之加入以設定權限的網域本機群組，以獲得相同權限
• 再多網域環境中，將user帳戶組成全域群組，再將之加入萬用群組，最後再將之加入以設定權限的網域本機群組，以獲得相同權限
  盡量不要在萬用群組中包含使用者帳戶
• 群組中包含其他群組的巢狀結構盡可能不要太複雜，建議採用單層巢狀結構

群組分類總攬

建立與維護群組

認識內建群組

內建本機群組

Builtin 網域本機群組

無法重新命名、刪除、移動它們

Users 網域本機、全域、萬用群組

本身大多沒有任何權利與權限

特殊的系統群組

一組特殊的系統全組，內建安全性原則，只會在指派使用者權利或設定權限時才會出現，平常在電腦管理與AD使用者和電腦視窗看不到它們

內建使用者權利

• 從網路存取這台電腦
• 將工作站加入網域
• 備份檔案及目錄
• 變更系統時間
• 從遠端系統強制關機
• 載入和釋放周邊設備驅動程式
• 允許本機登入
• 管理稽核及安全日誌
• 還原檔案與目錄
• 取得檔案或其他物件的所有權
• 略過周遊檢查
• 修改韌體環境值
• 鎖定記憶體分頁

在網域中指派使用者權利

新增完畢後，在開始鈕輸入gpupdate，按Enter套用

指派本機的使用者權利

重啟後，指派的使用者權利便會生效