[BelMike]

Я так понял, у вас о-о-очень маленький домен, если вы собираетесь
обойтись одним уровнем групп.

Но представьте себе, что у вас в лесу 154 домена и есть группа
"Домен132\Группа1245", Домен132 находится в другой стране
и вы лично не знаете там ни одного сотрудника, тем более - их
полномочий и прав. Станете ли вы использовать эту группу для
доступа к каким-либо критическим ресурсам у себя в Домен091?

Членством в глобальных и локальных группах управляют свои
местные администраторы, которые получили необходимые команды,
например, от отдела кадров, юристов и/или отдела безопасности.
А администратор уровня предприятия использует эти группы
в универсальных как конструктор ЛЕГО.

Классический пример: в каждом домене есть глобальная группа
ДоменNNN\ОтделИТ, мы их включаем в универсальную группу
"ВсеСотрудники Отделов ИТ", а дальше для доступа к ресурсам
использовать локальные группы. Задумайтесь: у вас файловая шара
с миллионом файлов и папок, и вы даете доступ еще одной глобальной
группе. Нужно переписать все ACL. А так только изменится одна группа.

К тому же, Exchange Server 2010 работает только с универсальными
группами, например, можно разослать циркулярное письмо по всем
сотрудникам ИТ.

Вы еще не видели, сколько плодится групп, если использовать RBAC
(Role-Based Access Control

И не забывайте, что фэншуй - это разновидность рэкета и служит
для выколачивания денег из наивных людей :-)