Das Prinzip war AGLP. Wenn du einer auf dem Server oder Client bestehenden lokalen Gruppe Domänenitglieder hinzufügen willst, geht das nur direkt über den Account des Benutzers (ungünstig - wenn es nicht gerade bloß ein Benutzer ist) oder eben über das geschilderte Verfahren mit der Globalen Gruppe vom AD in die bestehende lokale Gruppe auf dem Server.
A G DL P:
du befindets dich mit deiner Domäne in einer Funktionsebene, in der NT BDCs nicht mehr unterstützt werden, dann ist das anwendbar: nehmen wir als Beispiel an, du hast eine Ressource auf dem lokalen Computer (Server) freigegeben und musst nun die Freigabeberechtigungen (und meinetwegen auch noch die NTFS-Berechtigungen vergeben. Dann kannst du auf der einen Seite auf dem DC die Benutzer in einer globalen Gruppe organisieren, und du kannst gleichzeitig auf dem DC entsprechende domänenlokale Gruppen anlegen (z.B. DL-Freigabe-lesen, DL-Freigabe-ändern usw.). Dukannst in der Zugriffsteuerungsliste der Freigabe nun die domänenlokalen Gruppen verwenden und die entsprechechenden Berechtigungen zuweisen. Der Vorteil dieses Verfahrens im Gegensatz zu AGLP ist, dass nun zwei klar oneinander getrennte Orte hast, wo du tätig wirst. Auf der einen Seite ist da der Server, wo du die Berechtigungen den domänenlokalen Gruppen erteilt hast, auf der anderen Seite ist da der DC, wo du mit den Benutzern jonglierst. A->G, G->DL. Das DL<-P wird einmal auf dem Server definiert, danach ist Ruhe. Wechselt ein Benutzer in eine andere Abteilung verschiebst du ihn auf dem DC z.B. von der globalen Gruppe Einkauf ind die globale Gruppe Verkauf, schon hat er die der neuen Abteilung zugeordneten Berechtigungen. Soll eine Abteilung andere Berechtigungen für den Zugriff auf eine Ressource erhalten, verschiebst du die globale Gruppe in eine andere domänenlokale Gruppe. Und das passiert alles nur auf dem DC.