Microsoft recomienda el uso para cada uno de los alcances de grupos
Grupos Locales: única alternativa en ambiente de grupo de trabajo. En ambiente de Dominio, sólo en casos que se necesiten asignar privilegios específicos locales. Ejemplos: que un grupo del Dominio sea administrador local de la máquina, o que un grupo de Dominio pueda ejecutar copias de seguridad o recuperación en un equipo en particular
Grupos Globales: se recomienda utilizarlos para agrupar cuentas con función similar. Por ejemplo, un sector, un cargo, etc.
Grupos Locales de Dominio: se recomienda utilizarlos para asignar privilegios (permisos y derechos)
Grupos Universales: se recomienda la utilización cuando se requiere agrupar Grupos Globales de diferentes Dominios
Resumiendo, para una empresa mediana, la preferencia es:
Agrupar por función: cuentas –> Globales (Accounts –> Global Groups)
Agrupar por permisos: Grupos Locales de Dominio <– Permisos (DL <– Permissiones
Más resumido: Cuentas –> Grupos Globales –> Grupos Locales de Dominio <– Permisos
O aún más: A–>GG–>DLG<–P