La información de seguridad almacenada en una cuenta de usuario es suficiente para establecer el grado libertad (o de otro modo, las restricciones) que cada usuario debe poseer en el sistema. Sin embargo, resultaría muchas veces tedioso para el administrador determinar dichas restricciones usuario por usuario, especialmente en sistemas con un elevado número de ellos. El concepto de grupo de usuarios permite agrupar de forma lógica a los usuarios de un sistema, y establecer permisos y restricciones a todo el grupo de una vez. Un usuario puede pertenecer a tantos grupos como sea necesario, poseyendo implícitamente la suma de los permisos de todos ellos. Esta forma de administrar la protección del sistema es mucho más flexible y potente que el establecimiento de permisos en base a usuarios individuales.
Considérese, por ejemplo, que en una empresa un sistema es utilizado por empleados de distinto rango, y que cada rango posee un distinto nivel de privilegios. Supongamos que se desea cambiar de rango a un empleado, debido a un ascenso, por ejemplo. Si la seguridad estuviera basada en usuarios individuales, cambiar los privilegios de este usuario adecuadamente supondría modificar sus privilegios en cada lugar del sistema en que estos debieran cambiar (con el consiguiente trabajo, y el riesgo de olvidar alguno). Por el contrario, con la administración de seguridad basada en grupos, esta operación sería tan sencilla como cambiar al usuario de un grupo a otro. Por ello, en Windows 2000 se recomienda que los permisos se asignen en base a grupos, y no en base a usuarios individuales.
Al igual que existen cuentas preinstaladas, en todo sistema 2000 existen una serie de grupos preinstalados (built-in groups): Administradores, Operadores de Copia, Usuarios Avanzados, Usuarios, e Invitados. El grupo Administradores recoge a todos aquellos usuarios que deban poseer derechos administrativos completos. Inicialmente posee un solo usuario, el Administrador. De igual forma, el grupo Invitados posee al Invitado como único miembro. Los otros tres grupos están vacíos inicialmente. Su uso es el siguiente:
Usuarios. Son los usuarios normales del sistema. Tienen permisos para conectarse al sistema interactivamente y a través de la red.
Operadores de copia. Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema.
Usuarios avanzados. Son usuarios con una cierta capacidad administrativa. Se les permite cambiar la hora del sistema, crear cuentas de usuario y grupos, compartir ficheros e impresoras, etc.
El Administrador, al ir creando las cuentas de los usuarios, puede hacer que cada una pertenezca al grupo (o grupos) que estime conveniente. Asimismo, puede crear nuevos grupos que refinen esta estructura inicial, conforme a las necesidades particulares de la organización donde se ubique el sistema.
Finalmente, Windows 2000 define una serie de grupos especiales, cuyos (usuarios) miembros no se establecen de forma manual, sino que son determinados de forma dinámica y automática por el sistema. Estos grupos se utilizan normalmente para facilitar la labor de establecer la protección del sistema. De entre estos grupos, destacan:
Usuarios Interactivos (Interactive). Este grupo representa a todos aquellos usuarios que tienen el derecho de iniciar una sesión local en la máquina.
Usuarios de Red (Network). Bajo este nombre se agrupa a todos aquellos usuarios que tienen el derecho de acceder al equipo desde la red.
Todos (Everyone). Agrupa a todos los usuarios que el sistema conoce. Puede agrupar a usuarios existentes localmente y de otros sistemas (conectados a través de la red).
Usuarios autentificados (Authenticated Users). Agrupa a todos los usuarios que poseen una cuenta propia para conectarse al sistema. Por tanto, aquellos usuarios que se hayan conectado al sistema utilizando la cuenta de "invitado" pertenecen a "Todos" pero no a "Usuarios autentificados".