AD: Qual é a diferença entre grupos locais, globais e universais?

A diferença é quais grupos / usuários você pode incluir nos diferentes grupos, quais permissões podem ser atribuídas a esse grupo e se o grupo pode ser convertido.

Se você tem apenas um domínio e uma árvore, e sabe que vai continuar assim para sempre, você realmente não precisa saber muito sobre isso. Mas eu recomendo strongmente que você leia isto: link

Você vai odiar a pessoa que criou grupos em primeiro lugar, se você tiver que corrigir o erro. Eu tive que, e não é divertido.

A diferença se resume ao escopo de onde as permissões estão sendo atribuídas e se membros de diferentes domínios podem ser adicionados como membros do grupo.

• Domínio local

  • As permissões podem ser atribuídas apenas no domínio local.
  • Os membros podem ser de qualquer domínio da floresta.
  • Destinado a uso em objetos não diretamente no AD, como compartilhamentos de arquivos, filas de impressoras etc.
  • Não deve ser usado para atribuir permissões a objetos do AD (por exemplo, UOs, contas de usuários, etc.), porque eles não podem ser avaliados em outros domínios.

• Global

  • As permissões podem ser atribuídas em qualquer domínio.
  • Os membros devem estar no mesmo domínio que o grupo.

• Universal

  • As permissões podem ser atribuídas a qualquer lugar da floresta.
  • Os membros podem ser de qualquer domínio da floresta.

Fontes:

• Tipo de grupo e uso do escopo no Windows (Microsoft KB231273)
• No Active Directory, quais são as diferenças entre grupos locais universais, globais e de domínio?