Jakie są konsekwencje przekształcenia wszystkich moich grup w grupy uniwersalne?

10

W Exchange 2010 grupy dystrybucyjne muszą być uniwersalne. Jest to poparte dokumentacją

Można tworzyć lub włączać pocztą tylko uniwersalne grupy dystrybucyjne.

Usiłuję utworzyć strukturę grupy zabezpieczeń opartą na rolach, aby jeśli ktoś odejdzie lub zmieni pracę, musisz jedynie zmienić członkostwo grupy w „roli” użytkownika (gdzie rola jest po prostu inną grupą zabezpieczeń). W najprostszej formie role miałyby użytkowników dla członków, a sama rola byłaby członkiem innych grup bezpieczeństwa skoncentrowanych na zasobach, np. Grupy odczytu i zapisu dla udziału. Model ma więcej niż tylko to, ale powinno wystarczyć na potrzeby tego pytania.

Problem pojawia się, gdy chcę dodać te grupy ról jako członków dystrybucji. Jeśli spróbuję dodać rolę „Marketing Manager” do listy dystrybucyjnej „marketing@domain.com”, nie przekieruję poczty do członków roli, chyba że grupa zabezpieczeń roli jest uniwersalna.

Grupy uniwersalne nie mogą jednak należeć do grup globalnych. Więc jeśli chciałbym przekonwertować moje grupy ról na uniwersalne, aby móc je włączyć, musiałbym również zmienić grupy, do których sama rola również należy. Oznacza to, że przechodziłbym konwersję w pobliżu wszystkich moich grup bezpieczeństwa w AD na uniwersalny, aby wspierać moją proponowaną strukturę.

Jesteśmy lasem jednodomenowym z około 1000 użytkowników i spodziewałbym się, że po utworzeniu wszystkich grup, które będą miały 1000+. Poziom funkcjonalny domeny to 2008R2

Naprawdę nie wiem, jaki wpływ może to mieć na środowisko Active Directory. Czy uczynienie całej grupy uniwersalną jest naprawdę jedynym sposobem, aby to zrobić, jeśli chcę dodać swoje role do grup dystrybucyjnych? Odpowiedź brzmi „tak”, jeśli chcę, aby były one używane w poczcie . Chcę tego, aby użytkownicy pomocy technicznej nie musieli martwić się o to, jakich grup potrzebują użytkownicy. Muszą tylko poznać swoją „rolę”.

Połączone pytanie odpowiada, dlaczego nie mogę po prostu mieć prostych grup bezpieczeństwa, ale chcę wiedzieć, czy moja proponowana struktura, co oznacza, że ​​będę przekształcać się w pobliżu wszystkich moich grup w uniwersalne, ma jakieś negatywne konsekwencje lub może być uważana za złą praktykę.

active-directory  exchange  exchange-2010  groups 
Matt
źródło
Chociaż dodawałoby (podwójnie) liczbę grup, które tworzysz, możesz rozważyć, że każda rola ma dwie różne grupy: jedną globalną grupę zabezpieczeń dla wszystkich ustawień związanych z bezpieczeństwem i dostępu oraz jedną uniwersalną grupę dystrybucyjną do routingu poczty e-mail.
Todd Wilcox
@ToddWilcox Tak. To może zadziałać. Musiałbym jedynie podwoić liczbę ról, które mam, lub przynajmniej tych, które musiałyby mieć powiązane grupy poczty. Chociaż część prostoty pojedynczej roli zostałaby usunięta, uniemożliwiłoby to zmianę setek grup. Coś do przemyślenia.
Matt

Odpowiedzi:

9

Jeśli masz tylko jedną domenę, a wszystkie kontrolery domeny są katalogami globalnymi, nie ma to dużego wpływu. Najlepszą praktyką jest to, że wszystkie kontrolery domeny powinny należeć do GC.

W dużych lasach z wieloma domenami korzystne może być ograniczenie, które grupy są uniwersalne. Wynika to z tego, że atrybut członka grup uniwersalnych jest replikowany do wykazu globalnego. Rozważmy scenariusz z dużym lasem, wieloma domenami, dużą liczbą uniwersalnych grup o dużej liczbie członków, wszyscy ci członkowie istnieliby w katalogu globalnym i byliby replikowani na każdym kontrolerze domeny / domenie. Tę replikację i wynikający z niej wzrost wielkości bazy danych można zminimalizować, tworząc grupę globalną w każdej domenie i posiadając jedną grupę uniwersalną, w której członkami są grupy globalne.

Jest to dziś mniejszy problem niż w przeszłości. Przed Windows Server 2003 wszyscy członkowie grupy byli replikowani przy każdej aktualizacji członkostwa w grupie. Nie było niczym niezwykłym, że duże grupy uniwersalne były w stałym stanie replikacji. Teraz tylko dodani / usunięci członkowie są replikowani.

Jeśli środowisko i grupy AD są bardzo stare (utworzone przed Windows 2003), możliwe, że jeszcze nie obsługują nowej funkcji replikacji połączonych wartości w celu replikacji tylko dodanych / usuniętych elementów, ale można to naprawić poprzez usunięcie / ponowne dodanie członkowie. Możesz to potwierdzić, uruchamiając repadmin / showobjmeta dla grupy. Jeśli członek grupy pojawia się jako „LEGACY” zamiast „OBECNY”, należy go naprawić przed przejściem do grupy uniwersalnej.

Greg Askew
źródło
2

Innym sposobem myślenia byłoby utworzenie dynamicznej grupy dystrybucyjnej, jeśli nie chcesz zmieniać swoich grup.

Dynamiczne grupy dystrybucyjne to obiekty grupy Active Directory z obsługą poczty, które są tworzone w celu przyspieszenia masowego wysyłania wiadomości e-mail i innych informacji w organizacji Microsoft Exchange.

W przeciwieństwie do zwykłych grup dystrybucji, które zawierają zdefiniowany zestaw członków, lista członkostwa dla dynamicznych grup dystrybucji jest obliczana za każdym razem, gdy wiadomość jest wysyłana do grupy, na podstawie zdefiniowanych przez ciebie filtrów i warunków. Wiadomość e-mail wysyłana do dynamicznej grupy dystrybucyjnej jest dostarczana do wszystkich odbiorców w organizacji, którzy spełniają kryteria zdefiniowane dla tej grupy.

W ten sposób, jeśli w AD wpiszesz dla użytkownika X atrybut, taki jak, pokaż tam dla pakietu Office, a następnie Exchange zrobi resztę .. (obraz wzięty z tego miejsca )

Dodajesz atrybut;

wprowadź opis zdjęcia tutaj

Ty tworzysz grupę;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

Wymień się resztą, pod warunkiem, że będziesz aktualizować swój atrybut, gdy użytkownik zrezygnuje z innej pracy / biura.

yagmoth555
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.