CONTOSO 在英國和美國設有辦事處。每個國家都有自己的域，但域相互信任。

我在英國的 AD 中創建了一個組，但如果該組設置為global我無法將美國使用者添加到該組。

一旦我將組範圍更改為domain local我可以允許美國使用者進入英國組。

問題：

為什麼會這樣？

我是否必須將組更改為domain local才能將位置更改為CONTOSO.COM而不是contoso.co.uk能夠在美國域中搜尋，並將美國使用者添加到該組？

它按預期工作，文件說：

可能的成員

環球集團

• 來自同一域的帳戶
• 來自同一域的其他全域組

域本地組

• 來自任何域或任何受信任域的帳戶
• 來自任何域或任何受信任域的全域組
• 來自同一林中任何域的通用組
• 來自同一域的其他域本地組
• 來自其他林和外部域的帳戶、全域組和通用組

引用自：https://serverfault.com/questions/987173