Hemos estado investigado en todo el mundo online y así darte la respuesta a tu inquietud, si continúas con inquietudes puedes dejarnos la inquietud y contestaremos sin falta.
Solución:
La diferencia se reduce al alcance del lugar donde se asignan los permisos y si se pueden agregar miembros de diferentes dominios como miembros del grupo.
-
dominio local
- Los permisos solo se pueden asignar en el dominio local.
- Los miembros pueden ser de cualquier dominio del bosque.
- Diseñado para su uso en objetos que no están directamente en AD, como recursos compartidos de archivos, colas de impresión, etc.
- No se debe usar para asignar permisos en objetos de AD (por ejemplo, unidades organizativas, cuentas de usuario, etc.) porque no se pueden evaluar en otros dominios.
-
Global
- Los permisos se pueden asignar en cualquier dominio.
- Los miembros deben estar en el mismo dominio que el grupo.
-
Universal
- Los permisos se pueden asignar a cualquier parte del bosque.
- Los miembros pueden ser de cualquier dominio del bosque.
Fuentes:
Tipo de grupo y uso del ámbito en Windows (Microsoft KB231273)- Grupos de seguridad de Active Directory
- En Active Directory, ¿cuáles son las diferencias entre los grupos locales universales, globales y de dominio?
La diferencia es qué grupos/usuarios puede incluir en los diferentes grupos, qué permisos se pueden asignar a ese grupo y si el grupo se puede convertir.
Si solo tiene un dominio y un árbol, y sabe que permanecerá así para siempre, realmente no necesita saber mucho sobre esto. Pero le recomiendo que lea esto: http://technet.microsoft.com/en-us/library/cc755692%28WS.10%29.aspx
Odiarás a la persona que creó los grupos en primer lugar si alguna vez tienes que corregir su error. He tenido que hacerlo, y no es divertido.