真正擁有物件權限的是LOCAL群組
可以把DOMAIN的GROUP看成是管組織(人)的
而LOCAL的GROUP是管資源(東西)的
把對資源存取的權限設定給LOCAL的GROUP
再把DOMAIN的GROUP加到LOCAL GROUP
這樣子屬於該DOMAIN GROUP的USER們就會有那個LOCAL GROUP的權限了

舉例來說(一般情況)
公司中各部門都有經理
那"經理"就是該建立成DOMAIN GROUP
然後把是"經理"的USER加到這個DOMAIN GROUP中

以資源來說
各部門都有自己的印表機
有接印表機的電腦我們姑且稱它為列印伺服器(PRINT SERVER)
在某部門的PRINT SERVER上
有幾個LOCAL GROUP
比如說
"一般使用者"(可以列印文件)
"印表管理者"(可以管理列印的文件)
雖然我們可以在那台PRINT SERVER上建立每位經理的LOCAL USER ACCOUNT
但這就表示 每次當某位經理要使用那台PRINT時
他就必須登入那台PRINT SERVER
因為是LOCAL USER ACCOUNT
所以認證是由該台PRINT SERVER來負責
(一般不熟的人可能比較會這樣做)

而正規的作法是
把"經理"這個DOMAIN GROUP加到"一般使用者"這個LOCAL GROUP
這樣經理們就擁有"一般使用者"的權限了
在某位經理要使用PRINT時
PRINT SERVER就向DC去查詢並比對這個USER手中所擁有的憑證(就是在登入DOMAIN時DC發給他的)
如果OK 就可以依照他所擁有的權限繼續處理下去(不OK就說沒權限並限制存取囉)
這樣做的好處就是 人歸人 東西歸東西
某部門經理中有升遷並換了人當時
只要把升遷經理的USER ACCOUNT從"經理"這個DOMAIN GROUP中移出
並將來接替那個人的USER ACCOUNT移入"經理"這個DOMAIN GROUP中即可
對PRINT SERVER來說 它只管這個人是不是經理(是不是在"經理"這個群組)而不是誰(某位USER)
對資源的管理上 會方便很多
(如果不是把DOMAIN GROUP加到LOCAL GROUP而是把DOMAINUSER甚至是LOCAL USER加到LOCAL GROUP中
那一個人調進一個人調出 一台SERVER就要把一個人移進 一個人移出"一般使用者"群組
如果有10台就做20次
100台就做200次.....別忘了還有其他物件呢)

一點點小意見 有錯請指教