Які наслідки перетворення всіх моїх груп у універсальні групи?


10

У Exchange 2010 групи дистрибуції повинні бути універсальними. Це підтверджується документацією

Ви можете створювати або вмикати поштою лише універсальні групи розповсюдження.

Я намагаюся створити структуру групи безпеки на основі ролей, щоб у випадку, якщо хтось залишає або змінює завдання, вам потрібно буде лише змінити членство в групі на "роль" користувачів (де ця роль - це лише інша група безпеки). У своєму найпростішому вигляді ролі мали б користувачі для членів, а сама роль була б членом інших груп безпеки, орієнтованих на ресурси, наприклад, групу читання-запису для частки. Модель є більше, ніж це, але цього має бути достатньо для цілей цього питання.

Проблема виникає, коли я хочу додати ці групи ролей як учасників розподілу. Якщо я спробую додати роль "Менеджера з маркетингу" до списку розповсюдження "marketing@domain.com", він не буде пересилати пошту учасникам ролей, якщо група безпеки ролі не є універсальною.

Універсальні групи не можуть бути членами глобальних груп. Отже, якби я хотів перетворити свої рольові групи на універсальні, щоб я міг їх поштою включити, я також міг би змінити групи, до яких належить і сама роль. Це означає, що я б перетворював майже всі мої групи безпеки в AD в універсальний, щоб підтримати запропоновану нами структуру.

Ми - це єдиний доменний ліс з близько 1000 користувачів, і я би сподівався, що колись у всіх груп для цього буде 1000+. Функціональний рівень домену - 2008R2

Я, чесно кажучи, не знаю, який вплив це може мати на наше активне середовище каталогів. Чи зробити універсальну групу справді єдиним способом зробити це, якщо я хотів би додати свої ролі до груп розподілу? Здається, відповідь "так", якщо я хочу, щоб вони використовувалися для пошти . Я хочу цього зробити, щоб таким чином користувачі довідкової служби не повинні турбуватися про те, що потребують групи користувачів. Вони просто повинні знати свою "роль".

Пов'язане запитання відповідає на те, чому я не можу просто мати прості групи безпеки, але я хочу знати, чи запропонована нами структура, що означає, що я буду перетворювати майже всі мої групи в універсальну, має якісь негативні наслідки або, можливо, вважається поганою практикою.


Хоча це додасть (подвоїть) кількість груп, які ви створюєте, ви можете врахувати, що кожна роль має дві різні групи: одна глобальна група безпеки для всіх налаштувань і доступу, пов’язаних із безпекою, і одна універсальна група розподілу для маршрутизації електронної пошти.
Тодд Вілкокс

@ToddWilcox Так. Це могло б спрацювати. Мені потрібно лише подвоїти кількість ролей, які я маю, або, принаймні, ті, які повинні мати асоційовані групи пошти. Хоча частина простоти однієї ролі буде знята, це не дозволить змінити 100 груп. Щось задуматися.
Метт

Відповіді:


9

Якщо у вас є лише один домен, і всі ваші контролери домену є глобальними каталогами, це не має великого впливу. Найкраща практика - всі контролери домену повинні бути GC.

У великих лісах з кількома доменами може бути вигідно обмежити, які групи є універсальними. Це пояснюється тим, що атрибут члена універсальних груп відтворюється на глобальний каталог. Розглянемо сценарій з великим лісом, декількома доменами, великою кількістю універсальних груп з високим числом членів, всі ці члени існували б у глобальному каталозі та реплікувалися б на кожен контролер / домен. Ця реплікація та зумовлене цим збільшення розміру бази даних можна мінімізувати, створивши глобальну групу у кожному домені та створивши єдину універсальну групу, де членами є глобальні групи.

Це сьогодні питання менше, ніж раніше. До Windows Server 2003, всі члени групи реплікувалися щоразу, коли членство в групі оновлювалось. Незвичайним було те, що великі універсальні групи перебувають у постійному стані реплікації. Тепер реплікуються лише додані / видалені члени.

Якщо середовище та групи AD дуже давні (створено до Windows 2003), можливо, вони ще не підтримують нову здатність реплікації пов'язаного значення для копіювання лише доданих / видалених членів, але це можна виправити, видаляючи / повторно додаючи члени. Ви можете підтвердити це, запустивши repadmin / showobjmeta для групи. Якщо член групи відображається як "ЛЕГАЦІЯ" замість "ПРИСТУПНО", це слід виправити перед переходом у універсальну групу.


2

Ще один спосіб подумати, що було б створити динамічну групу розподілу, якщо ви не хочете змінювати свої групи.

Динамічні групи розповсюдження - це об’єкти групи Active Directory з підтримкою пошти, створені для прискорення масового надсилання електронних повідомлень та іншої інформації в рамках організації Microsoft Exchange.

На відміну від регулярних груп розподілу, які містять визначений набір членів, список членів для динамічних груп розподілу обчислюється кожного разу, коли повідомлення надсилається до групи, виходячи з визначених вами фільтрів. Коли повідомлення електронної пошти надсилається динамічній групі розповсюдження, воно доставляється всім одержувачам організації, які відповідають критеріям, визначеним для цієї групи.

Таким чином, якщо в AD ви вводите для User X атрибут, як-от, показуєте там для Office, тоді Exchange зробить все інше .. (зображення зняте звідти )

Ви додаєте атрибут;

введіть тут опис зображення

Ви створюєте групу;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

Обмін виконайте все інше, якщо ви постійно оновлюєте свій атрибут, коли користувач вийшов на іншу роботу / офіс.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.