Mat*_*att 10 exchange active-directory groups exchange-2010
在 Exchange 2010 中,通讯组必须是通用的。这是由文档支持的
您只能创建或启用邮件的通用通讯组。
我正在尝试创建一个基于角色的安全组结构,以便如果有人离职或更换工作,您只需更改用户“角色”的组成员身份(角色只是另一个安全组)。在最简单的形式中,角色将拥有用户作为成员,而角色本身将是其他以资源为中心的安全组的成员,例如共享的读写组。该模型还有更多内容,但对于此问题的目的来说应该足够了。
问题出在我想将这些角色组添加为分发成员时。如果我尝试将“营销经理”角色添加到“marketing@domain.com”通讯组列表,则除非角色安全组是通用的,否则它不会将邮件转发给角色成员。
通用组不能是全局组的成员。因此,如果我想将我的角色组转换为通用角色,以便我可以通过邮件启用它们,那么我还必须更改角色本身也是其成员的组。这意味着我会将 AD 中所有安全组附近的所有安全组转换为通用组以支持我提议的结构。
我们是一个拥有大约 1000 个用户的单域林,我希望一旦所有组都拥有 1000+。域的功能级别为 2008R2
老实说,我不知道这可能会对我们的活动目录环境产生什么影响。如果我想将我的角色添加到通讯组,让所有组通用真的是唯一的方法吗?如果我希望它们用于邮件,答案似乎是肯定的。我确实希望这样做,这样帮助台用户就不必担心用户需要哪些组。他们只需要知道他们的“角色”。
链接的问题回答了为什么我不能只拥有简单的安全组,但我想知道我提议的结构(意味着我将几乎所有组都转换为通用)是否有任何负面影响或可能被认为是一种不好的做法。
如果您只有一个域并且所有域控制器都是全局编录,则不会有太大影响。最佳实践是所有域控制器都应该是 GC。
在具有多个域的大型林中,限制通用组可能是有利的。这是由于通用组的成员属性被复制到全局编录。考虑一个具有大型林、多个域、大量成员数量较多的通用组的场景,所有这些成员都将存在于全局编录中并被复制到每个域控制器/域。通过在每个域中创建一个全局组,并拥有一个成员为全局组的单一通用组,可以最大限度地减少这种复制和由此导致的数据库大小的增加。
与过去相比,这在今天已不再是一个问题。在 Windows Server 2003 之前,每当更新组成员身份时,都会复制所有组成员。大型通用组处于持续复制状态并不罕见。现在只复制添加/删除的成员。
如果您的 AD 环境和组很旧(在 Windows 2003 之前创建),它们可能还不支持新的链接值复制功能来仅复制添加/删除的成员,但这可以通过删除/重新添加来修复成员。您可以通过为该组运行 repadmin /showobjmeta 来确认这一点。如果组成员显示为“LEGACY”而不是“PRESENT”,则应在转换为通用组之前对其进行修复。
| 归档时间: |
|
| 查看次数: |
6511 次 |
| 最近记录: |