新しくグループを追加する場合は、「操作」メニューの「新しいグループ」を選ぶ（メインウィンドウでの右クリックメニューからも選べる）。

「新しいグループ」ダイアログボックスでは、半角256文字以内でグループ名を入力するが、グループ名としてほかのユーザー名やグループ名は指定できない。また、大文字と小文字を使うことができるが、以下の文字を使うことや、ピリオドだけやスペースだけのグループ名は使うことができない。

" / [ ] : ; | = , + * ? < >

ビルトインのグループは、以下のようになっている。

Administrators	コンピュータのすべてを制御する権限が与えられているグループ。
Backup Operators	ファイルのアクセス許可にかかわらず、コンピュータ上のファイルのバックアップと復元を行なうことができる。ログオンし、シャットダウンすることもできるが、セキュリティ設定を変更することはできない。
Power Users	ユーザーアカウントを作成できるが、変更したり削除できるのは自分で作成したアカウントだけ。ローカルグループを作成したり、作成したローカルグループからユーザーを削除することやPower Usersグループ、Usersグループ、Guestsグループからユーザーを削除することもできる。ただし、Administratorsグループ、Backup Operatorsグループの変更、ファイルの所有権の取得、ディレクトリのバックアップ・復元、デバイスドライバの読み込み・アンロード、セキュリティと監査ログの管理を行なうことはできない。
Users	アプリケーションの実行、ローカルプリンタとネットワークプリンタの使用、ワークステーションのシャットダウンとロックなど、一般的な作業を実行できる。ローカルグループを作成できるが、変更できるのは自分で作成したローカルグループだけ。ディレクトリを共有したり、ローカルプリンタを作成することはできない。
Guests	制限付きの権限を持っている。Guestsグループのメンバーには、ローカルログオンの権限がある。
Replicator	ディレクトリの複製機能をサポートしている。Replicator グループのメンバーは、ドメイン コントローラのReplicatorサービスにログオンするために使うドメインユーザーアカウントに制限する。

そのほか、「DHCP Administrators」（DHCPサービスの管理者グループ）、「DHCP Users」（DHCPサービスに対し読み取り専用アクセス権を持ったグループ）、「NetShow Administrators」（Windows Mediaサービスの管理者グループ）、「xxxxx（コンピュータの名前） Admins」（Webを作成したり管理するグループ）、「xxxxx（コンピュータの名前） Authors」（Webサービスで公開しているフォルダの中のフォルダやファイルを作成・変更できるグループ）、「xxxxx（コンピュータの名前） Browsers」（Webサービスで公開しているドキュメントを参照できるグループ）など、インストールしているサービスによって、グループがそれぞれ追加されている。

グループを作ったら、そのグループに所属するユーザーを設定する。ユーザー側から所属するグループを設定することもできる。