>現在はグローバルグループで作成したグループにアクセス権を >割り当てたりしているのですが、本来良くないのでしょうか？ 質問文中のURLにも記されているとおり，良くないです。 -------------------------------------- 部署Ａ　管理者レベル　フルコントロール 部署Ｂ　上級者レベル　変更 部署Ｃ　初心者レベル　読み取り -------------------------------------- 左端に置かれた「概念上のグループ」を表すのがGlobal groupの本来の役割， 中間に置かれた「各アクセス許可に対応づけるためのグループ（リソースに対するアクセス制限のためのグループ）」を表すのがDomainLocal groupの本来の役割です。 右端は，フォルダ／ファイルに対する具体的なアクセス許可設定です。 このように設計すれば，左端－中間－右端の結びつきの変更の自由度が高まります。 現在のWindowsは昔のそれより機能強化されてグループのネストが可能ですから，質問者の例のように，１種類のセキュリティグループGlobal groupのネストだけでも実現できてしまいますけれど，本来の使い方ではないです。 Windows Server系MCPの試験勉強を経てきている管理者だと，アクセス許可の強弱に直接結びつかない論理的なグループにはGlobal group，アクセス許可の強弱の割り当てに結びつく物理的リソースに対するグループにはDomainLocal group，と，原則どおりきれいに設計してくれるものです。 >グローバルグループの中にグローバルグループをネストしたりしています。 それは問題ありません。係→課→部 のように論理的概念ならばGlobal groupを使うのが正しいです。 >ネイティブモードならユニバーサルグループにしてしまった方が良いでしょうか。 単一ドメインで運営しているような小規模な例ならばUniversal groupを使う必要はありません。 もっときちんとした説明をお知りになりたければ，A-G-L-P ポリシー（あるいは A-G-DL-P，A-G-U-DL-P）などのキーワードでgoogleするとよいでしょう。ちなみに，userAccount - Global group - Universal group - DomainLocal group - Permission の頭文字を指しています。