혼합 모드 도메인에서는 그룹 범위 또는 형식을 변경할 수 없습니다. 그러나 다음 변환은 기본 모드 도메인에서 허용됩니다.
도메인 로컬 그룹을 범용 그룹으로: 변환되는 도메인 로컬 그룹에는 도메인에 FSP(Foreign Security Principals)로 존재하는 다른 포리스트의 다른 도메인 로컬 그룹 또는 멤버를 포함할 수 없습니다.
전역 그룹-유니버설 그룹: 전역 그룹이 다른 전역 그룹의 구성원이 아닌 경우에만 허용됩니다.
유니버설 그룹을 전역 또는 도메인 로컬 그룹으로 변환: 전역 그룹으로 변환하는 유니버설 그룹은 다른 도메인의 사용자 또는 전역 그룹을 포함할 수 없습니다. 도메인 로컬 그룹으로 변환하는 경우 변환되는 유니버설 그룹은 유니버설 그룹의 구성원이거나 다른 도메인의 도메인 로컬 그룹이 될 수 없습니다.
전역 그룹에서 도메인 로컬 그룹으로만 변경할 수 있으며 그 반대의 경우도 범용 그룹을 통해 변경할 수 있습니다. 이러한 단계는 별도의 단계이므로 위의 제한이 적용될 때마다 적용됩니다.
참고: 전역 또는 유니버설 그룹이 도메인 로컬 그룹으로 변환되는 경우 이 그룹의 Sid는 도메인이 있는 그룹의 구성원에 대한 액세스 토큰에만 있습니다. 이 Sid가 다른 도메인의 컴퓨터에서 액세스 제어 목록에 사용된 경우 사용자는 그룹의 구성원이 아닌 것처럼 액세스가 허용됩니다.
기본 모드에서는 보안 그룹과 메일 그룹 간에 그룹 형식을 자유롭게 변환할 수 있습니다.
그룹이 액세스 제어를 설정하는 데 사용되는 경우 범위 또는 유형을 변경하면 해당 그룹이 포함된 ACE(액세스 제어 항목)에 영향을 줄 수 있습니다. 보안 시스템은 보안 그룹이 아닌 그룹이 포함된 ACE를 무시합니다.