W Exchange 2010 grupy dystrybucyjne muszą być uniwersalne. Jest to poparte dokumentacją
Można tworzyć lub włączać pocztą tylko uniwersalne grupy dystrybucyjne.
Usiłuję utworzyć strukturę grupy zabezpieczeń opartą na rolach, aby jeśli ktoś odejdzie lub zmieni pracę, musisz jedynie zmienić członkostwo grupy w „roli” użytkownika (gdzie rola jest po prostu inną grupą zabezpieczeń). W najprostszej formie role miałyby użytkowników dla członków, a sama rola byłaby członkiem innych grup bezpieczeństwa skoncentrowanych na zasobach, np. Grupy odczytu i zapisu dla udziału. Model ma więcej niż tylko to, ale powinno wystarczyć na potrzeby tego pytania.
Problem pojawia się, gdy chcę dodać te grupy ról jako członków dystrybucji. Jeśli spróbuję dodać rolę „Marketing Manager” do listy dystrybucyjnej „[email protected]”, nie przekieruję poczty do członków roli, chyba że grupa zabezpieczeń roli jest uniwersalna.
Grupy uniwersalne nie mogą jednak należeć do grup globalnych. Więc jeśli chciałbym przekonwertować moje grupy ról na uniwersalne, aby móc je włączyć, musiałbym również zmienić grupy, do których sama rola również należy. Oznacza to, że przechodziłbym konwersję w pobliżu wszystkich moich grup bezpieczeństwa w AD na uniwersalny, aby wspierać moją proponowaną strukturę.
Jesteśmy lasem jednodomenowym z około 1000 użytkowników i spodziewałbym się, że po utworzeniu wszystkich grup, które będą miały 1000+. Poziom funkcjonalny domeny to 2008R2
Naprawdę nie wiem, jaki wpływ może to mieć na środowisko Active Directory. Czy uczynienie całej grupy uniwersalną jest naprawdę jedynym sposobem, aby to zrobić, jeśli chcę dodać swoje role do grup dystrybucyjnych? Odpowiedź brzmi „tak”, jeśli chcę, aby były one używane w poczcie . Chcę tego, aby użytkownicy pomocy technicznej nie musieli martwić się o to, jakich grup potrzebują użytkownicy. Muszą tylko poznać swoją „rolę”.
Połączone pytanie odpowiada, dlaczego nie mogę po prostu mieć prostych grup bezpieczeństwa, ale chcę wiedzieć, czy moja proponowana struktura, co oznacza, że będę przekształcać się w pobliżu wszystkich moich grup w uniwersalne, ma jakieś negatywne konsekwencje lub może być uważana za złą praktykę.
Odpowiedzi:
Jeśli masz tylko jedną domenę, a wszystkie kontrolery domeny są katalogami globalnymi, nie ma to dużego wpływu. Najlepszą praktyką jest to, że wszystkie kontrolery domeny powinny należeć do GC.
W dużych lasach z wieloma domenami korzystne może być ograniczenie, które grupy są uniwersalne. Wynika to z tego, że atrybut członka grup uniwersalnych jest replikowany do wykazu globalnego. Rozważmy scenariusz z dużym lasem, wieloma domenami, dużą liczbą uniwersalnych grup o dużej liczbie członków, wszyscy ci członkowie istnieliby w katalogu globalnym i byliby replikowani na każdym kontrolerze domeny / domenie. Tę replikację i wynikający z niej wzrost wielkości bazy danych można zminimalizować, tworząc grupę globalną w każdej domenie i posiadając jedną grupę uniwersalną, w której członkami są grupy globalne.
Jest to dziś mniejszy problem niż w przeszłości. Przed Windows Server 2003 wszyscy członkowie grupy byli replikowani przy każdej aktualizacji członkostwa w grupie. Nie było niczym niezwykłym, że duże grupy uniwersalne były w stałym stanie replikacji. Teraz tylko dodani / usunięci członkowie są replikowani.
Jeśli środowisko i grupy AD są bardzo stare (utworzone przed Windows 2003), możliwe, że jeszcze nie obsługują nowej funkcji replikacji połączonych wartości w celu replikacji tylko dodanych / usuniętych elementów, ale można to naprawić poprzez usunięcie / ponowne dodanie członkowie. Możesz to potwierdzić, uruchamiając repadmin / showobjmeta dla grupy. Jeśli członek grupy pojawia się jako „LEGACY” zamiast „OBECNY”, należy go naprawić przed przejściem do grupy uniwersalnej.
źródło
Innym sposobem myślenia byłoby utworzenie dynamicznej grupy dystrybucyjnej, jeśli nie chcesz zmieniać swoich grup.
W ten sposób, jeśli w AD wpiszesz dla użytkownika X atrybut, taki jak, pokaż tam dla pakietu Office, a następnie Exchange zrobi resztę .. (obraz wzięty z tego miejsca )
Dodajesz atrybut;
Ty tworzysz grupę;
Wymień się resztą, pod warunkiem, że będziesz aktualizować swój atrybut, gdy użytkownik zrezygnuje z innej pracy / biura.
źródło