Quando criamos um grupo de usuários, devemos selecionar um tipo e um escopo. Os tipos foram descritos anteriormente. O escopo permite que o grupo seja utilizado de diferentes maneiras para a atribuição de permissões. O escopo de um grupo determina em que partes da rede poderemos usar o grupo para atribuir permissões. Existem três escopos para grupos de usuários, conforme descrito a seguir:

Grupos globais (Global group):

• Somente pode conter membros do domínio no qual o grupo é criado.
• Pode receber permissões para recursos localizados em qualquer domínio.

Grupos locais do domínio (Domain local group):

• Pode conter membros de qualquer domínio.
• Somente pode receber permissões para o domínio no qual o grupo é criado.

Grupos universais (Universal group):

• Pode conter membros de qualquer domínio.
• Pode receber permissões para recursos localizados em qualquer domínio.

O escopo de um grupo também determina quem pode ser membro do grupo. Tanto usuários como outros grupos podem ser membros de um determinado grupo. Considere a descrição a seguir, onde são apresentadas as regras para membros de grupos:

Grupo global:

• Pode conter: Contas de usuários e grupos globais do mesmo domínio.
• Pode ser membro de: Grupos universais e grupos locais do domínio em qualquer domínio.

Grupo local do domínio:

• Pode conter: Contas de usuários, grupos universais e grupos globais de qualquer domínio.
• Pode ser membro de: Grupos Globais do domínio

Grupo universal:

• Pode conter: Contas de usuários, grupos universais, e grupos globais de qualquer domínio.
• Pode ser membro de: Grupos locais do domínio ou grupos universais de qualquer domínio.

Bem, agora chega de teoria e vamos praticar um pouco.