Kullanıcıları gruplar halinde yönetmek daha kolaydır. Kullanıcı grupları oluşturmak için ya “Domain admin”, “Account Operator”, “Enterprise Admin” veya “Hesap oluşturmak için izin verilmiş birisi” olması gerekmektedir.

Grup oluşturmadan önce grup tipine karar vermemiz gerekmektedir.

• Distribution Grup : genellikle email uygulamalarınca kullanılmaktadır. SID yoktur ve security enabled değildir ve bu nedenle izinler buna tahsis edilemez.
• Security Grup : SID tahsis edilmiştir ve bu nedenle izinler verilebilir. Ayrıca istenirse emailler içinde kullanılabilir.

Gruplar istenirse diğer tipe çevrilebilir yani istersek security grubunu distribution grubuna veya distribution grubunu security grubuna çevirebiliriz.

Grubu oluştururken karar vermemiz gereken bir diğer kavram grubun scope’u dur.

• Domain Local : Domain Controller a local bir gruptur.
• Global : Domain içinde kullanıcıları organize etmemizi sağlar
• Universal : Tüm forest içinde kullanıcılarımızı organize etmemizi sağlar.

Global grup Universal gruba çevrilebilir. Universal grup ise hem domain local a hemde Global gruba çevrilebilir. Lokal sistemde oluşturulan local grup çevirelemez.

Grup yönetimi ve nesting uygulanması (burada İngilizce IGDLA Implementing Group Management and Nesting)

I= Identities, users or computers.
G= Global group ve üye rollerini baz alan üyler ve bu üye rolleride Domain Local grup üyeleridir.
DL = Domain Local Gruplar; bunlar yönetimi sağlar.
A = Assignment yani tahsis etme yetkilendirme.

İlk yapılması gereken hesapları belirlemek ve oluşturmak. Sonra bu hesapları gruplara ekleyeceğiz. Global grup genellikle bir domain için kullanıcı ve bilgisayarların toplanma grubudur. Bunlar daha sonra Domain-Local gruplara bölünür. Domain-Local grupları kaynaklara erişim için izin verilmesini sağlar.

Örneğin ACL_Sales_Read grubu isminden belli olduğu gibi Sales grubu kaynaklarını okuma iznidir.

IGDLA bir işlem sıralaması önerisidir. Sıralama istediğimiz şekilde olabilir. Örneğin her bir yetkiyi kullanıcılara tek tek atayabiliriz ancak kullanıcı sistemden ayrılıp yerine yenisi geldiğinde yeni gelenide tek tek ayarlamak gerekir ki bu o kadar da iyi değildir. Gruplar oluşturulduğunda yetki için yeni kullanıcıyı istediğimiz gruplara ekleriz ve yetkiler otomatik olarak tahsis edilir.