安全识别码（Security Identifier):简称为SID。它代表一个账户的身份。在Windows中，SID是一段不定长的数据，包含了授予这个安全识别码的分发者的信息和唯一确定其代表的账户的ID信息。一个SID的结构一般如下：

开头的部分是一段固定的文本。紧接其后的是顶级的签发SID的机构（域管理服务或者Windows本地安全服务）的ID，以及在在这个机构之下的若干层级的安全机构的ID信息。这样的结构组成了一个安全信任链，在一个安全范围之内，机构A前发给机构B一个安全身份，认为其是可以签发其他安全身份的，然后B给C签发一个安全身份，最后的C给我们的账户X签发了一个SID。上述的图表中的最后一部分Relative ID代表的就是账户的X的ID信息。关于SID我们后面会有专门的文章详细讲述。

用户组类型：在Windows中用户组可以分为安全组和分发组。安全组是用来进行权限管理、安全认证的。比如在同一个安全组里面的用户可以都对机器A拥有管理员权限。分发组是用来帮助完成安全管理之外的其他功能的，比如分发组可以用来进行通知信息或者邮件的发送。在一个分发组里面的用户都可以收到发送到这个组的邮件。

组的范围：用户组有其有效存在的范围。有效存在是指这个用户组可以被使用、引用。用户组的范围可以分为超级组、全局组、域本地组和本地组。超级组可以包含在同一个Active Directory 群集（Forest）下面的任何域里面的用户，且可以授予在这个Active Directory 群集下面的任意一个域中资源的访问/管理权限。全局组只能包含这个组所在的域里面的账户，但是却可以授予这个组对当前Active Directory集群管理下的所有的可信任的域里面资源的访问/管理权限。域本地组可以包含来自当前Active Directory集群管理下的任意可信任域里面的账户，但是只能授予这个组对当前域的里面资源的访问/管理权限。本地组只存在于创建这个组的机器上且只能包含这个机器上的本地账户和机器所在域里面的账户，但是只能授予这个组对当前机器上面资源的访问权限。

内嵌组（Nested Groups)：在Windows 的Active Directory管理的可信任网络中，一个组可以包含另外一个用户组。这种情景被称为内嵌组。