Active Directoryグループクラスでは、2種類のグループおよびグループ内のメンバーシップの3つのスコープを定義します。タイプおよびスコープは、groupType属性で制御されます。この属性は、グループがActive Directoryで作成された場合や属性の修正により変更された場合に、Identity Managerポリシーを介して設定できます。
グループでは、オブジェクト参照のコレクションが保持されます。配布グループタイプでは、そのメンバーに特別な権限や特権が設定されないので、一般にExchangeの配布リストとして使用されます。セキュリティグループタイプは、セキュリティプリンシパルです。そのメンバーには、グループの権限および特権が与えられます。セキュリティグループには、旧Windows 2000のログオン名(samAccountName)とセキュリティID (SID)が設定されます。このSIDを他のオブジェクトのセキュリティ記述子(SD)アクセス制御リスト(ACL)で使用すると、そのメンバーへの権限や特権を付与または拒否できます。
グループスコープでは、外部ドメインからのオブジェクトをグループのメンバーにすることができるかどうか、また、グループ自体を別のグループのメンバーにすることができるかどうかを制御します。3つのスコープとして、ドメインローカル、グローバル、およびユニバーサルがあります。これらのスコープの動作、つまりスコープが有効であるかどうかは、Active DirectoryがWindows 2000混在モード、Windows 2000ネイティブモード、またはWindows 2003モードのどれで動作しているかによって異なります。
一般に、ドメインローカルグループではフォレスト内のどこででもオブジェクトの参照を保持できますが、このグループにはドメイン内でのみ許可を割り当てることができます。グローバルグループはその逆です。グローバルグループではドメイン内でのみオブジェクトの参照を保持できますが、このグループにはフォレスト内のどこででも許可を割り当てることができます。ユニバーサルグループの場合は、フォレスト内のどこででもオブジェクトの参照を保持し、許可を割り当てることができます。しかし、ユニバーサルグループでは、独自の制限とパフォーマンスの問題が生じます。グループは、Microsoftの推奨事項に基づいて作成および使用する必要があります。
groupType属性は32ビットの整数であり、ビット列でタイプとスコープが定義されています。グループには、常に1つのスコープだけを設定できます。