Назад | Перейти на главную страницу

Каковы последствия преобразования всех моих групп в универсальные группы?

В Exchange 2010 группы рассылки должны быть универсальными. Это подтверждено документацией

Вы можете создавать или поддерживать только универсальные группы рассылки.

Я пытаюсь создать структуру группы безопасности на основе ролей, чтобы, если кто-то уходит или меняет работу, вам нужно было только изменить членство в группах для «роли» пользователя (где роль - это просто другая группа безопасности). В своей простейшей форме роли будут иметь пользователей для участников, а сама роль будет членом других ресурсо-ориентированных групп безопасности, например. группа чтения-записи для общего ресурса. В модели есть нечто большее, но этого должно быть достаточно для решения этого вопроса.

Проблема возникает, когда я хочу добавить эти группы ролей в качестве участников рассылки. Если я попытаюсь добавить роль «Менеджер по маркетингу» в список рассылки «marketing@domain.com», она не будет пересылать почту участникам этой роли. если только Ролевая группа безопасности универсальна.

Однако универсальные группы не могут быть членами глобальных групп. Итак, если бы я хотел преобразовать свои группы ролей в универсальные, чтобы я мог использовать их по почте, мне также пришлось бы изменить группы, членом которых является сама роль. Это означает, что я бы преобразовал почти все мои группы безопасности в AD в универсальные для поддержки предлагаемой мной структуры.

Мы представляем собой лес с одним доменом, насчитывающий около 1000 пользователей, и я ожидаю, что, когда все группы для этого будут созданы, их будет более 1000. Функциональный уровень домена - 2008R2

Честно говоря, я не знаю, как это может повлиять на нашу среду активного каталога. Действительно ли сделать всю группу универсальной - единственный способ сделать это, если я хочу добавить свои роли в группы рассылки? Ответ будет положительным, если я хочу, чтобы они использовались для почты.. Я действительно хочу этого, чтобы пользователям службы поддержки не приходилось беспокоиться о том, какие группы нужны пользователям. Им просто нужно знать свою «роль».

Связанный вопрос отвечает, почему у меня не может быть просто простых групп безопасности, но я хочу знать, имеет ли моя предложенная структура, означающая, что я буду преобразовывать почти все свои группы в универсальные, какие-либо негативные последствия или, возможно, она считается плохой практикой.

Если у вас есть только один домен и все контроллеры домена являются глобальными каталогами, это не окажет большого влияния. Лучшая практика - все контроллеры домена должны быть GC.

В больших лесах с несколькими доменами может быть полезно ограничить универсальные группы. Это связано с тем, что атрибуты членов универсальных групп реплицируются в глобальный каталог. Рассмотрим сценарий с большим лесом, несколькими доменами, большим количеством универсальных групп с большим количеством участников, все эти члены будут существовать в глобальном каталоге и реплицироваться на каждый контроллер домена / домен. Эту репликацию и результирующее увеличение размера базы данных можно минимизировать, создав глобальную группу в каждом домене и имея единую универсальную группу, членами которой являются глобальные группы.

Сегодня это не так актуально, как в прошлом. До Windows Server 2003 все члены группы реплицировались каждый раз при обновлении членства в группе. Для больших универсальных групп не было ничего необычного в постоянном состоянии репликации. Теперь реплицируются только добавленные / удаленные участники.

Если ваша среда и группы AD очень старые (созданные до Windows 2003), возможно, они еще не поддерживают новую возможность репликации связанных значений для репликации только добавленных / удаленных членов, но это можно исправить путем удаления / повторного добавления участники. Вы можете подтвердить это, запустив для группы команду repadmin / showobjmeta. Если член группы отображается как «НАСЛЕДИЕ» вместо «ПРИСУТСТВУЕТ», его следует исправить перед преобразованием в универсальную группу.

Другой способ думать, что это было бы создать динамическую группу рассылки, если вы не хотите менять свои группы.

Динамические группы рассылки - это объекты группы Active Directory с включенной поддержкой почты, которые создаются для ускорения массовой отправки сообщений электронной почты и другой информации в организации Microsoft Exchange.

В отличие от обычных групп рассылки, которые содержат определенный набор членов, список членства для динамических групп рассылки рассчитывается каждый раз, когда сообщение отправляется в группу, на основе определенных вами фильтров и условий. Когда сообщение электронной почты отправляется в динамическую группу рассылки, оно доставляется всем получателям в организации, которые соответствуют критериям, определенным для этой группы.

Таким образом, если в AD вы вводите для пользователя X атрибут, например, показывать там для Office, тогда Exchange сделает все остальное. (Изображение взято из там)

Вы добавляете атрибут;

Вы создаете группу;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

Exchange сделает все остальное, пока вы обновляете свой атрибут, когда пользователь увольняется на другую работу / офис.