diff --git a/winserver/003-permessi.md b/winserver/003-permessi.md
index 54aba7e..42195f0 100644
--- a/winserver/003-permessi.md
+++ b/winserver/003-permessi.md
@@ -25,3 +25,42 @@ Si distinguono due livelli di permessi:
 Per consentire a utenti specifici o appartenenti a una determinata Organizational Unit di accedere e modificare i contenuti della directory condivisa, è necessario intervenire sui permessi di sicurezza.
 
 ![security-permissions](asset/img/security-permissions.png)
+
+## Gruppi
+
+In `Active Directory Users and Computers` è possibile creare un nuovo gruppo. Prima della creazione, è necessario distinguere tra due tipologie di gruppi:
+
+- `Gruppi di distribuzione`: utilizzati principalmente per la distribuzione di contenuti, ad esempio per l’invio di email a più destinatari
+- `Gruppi di security`: impiegati per gestire i permessi di accesso alle risorse
+
+I gruppi possono avere diversi scope:
+
+- `Global`: generalmente utilizzato per creare utenti che operano esclusivamente all'interno del proprio dominio di competenza
+- `Universal`:  consente la creazione di utenti che possono operare in tutti i domini della foresta
+
+Dopo aver selezionato il tipo e lo scope, è possibile aggiungere i membri corrispondenti tramite l’apposita scheda `Members`
+
+![groups](asset/img/groups.png)
+
+### Assegnazione dei permessi
+
+Una volta creato il gruppo, è possibile consentire l’accesso alle directory precedentemente condivise. Per fare ciò:
+
+- Accedere alla scheda `Security > Advanced` della directory condivisa
+- Disabilitare l’ereditarietà dei permessi dalla cartella superiore, qualora siano presenti sottocartelle a cui devono accedere solo utenti specifici
+- Convertire i permessi ereditati in permessi espliciti
+
+A questo punto, è possibile rimuovere il gruppo predefinito `Users` e aggiungere il gruppo creato in precedenza, in modo da limitare l’accesso alla risorsa solo agli utenti membri del gruppo specifico
+
+![disable-inheritance](asset/img/disable-inheritance.png)
+
+![access-deny](asset/img/access-deny.png)
+
+### Gestione dei permessi per le sottodirectory
+
+Nel caso in cui sia necessario creare una sottodirectory a cui deve accedere solo un utente specifico del gruppo, è possibile:
+
+- Negare esplicitamente l’accesso agli altri utenti
+- Rimuovere il gruppo dalla lista dei permessi
+
+Si ricorda che i permessi di negazione hanno sempre la precedenza su quelli di concessione.
diff --git a/winserver/asset/img/access-deny.png b/winserver/asset/img/access-deny.png
new file mode 100644
index 0000000..f78c5f4
Binary files /dev/null and b/winserver/asset/img/access-deny.png differ
diff --git a/winserver/asset/img/disable-inheritance.png b/winserver/asset/img/disable-inheritance.png
new file mode 100644
index 0000000..a668180
Binary files /dev/null and b/winserver/asset/img/disable-inheritance.png differ
diff --git a/winserver/asset/img/groups.png b/winserver/asset/img/groups.png
new file mode 100644
index 0000000..e0efa17
Binary files /dev/null and b/winserver/asset/img/groups.png differ