Apa implikasi dari konversi semua grup saya ke grup universal?

10

Di Exchange 2010, grup distribusi harus universal. Ini didukung oleh dokumentasi

Anda dapat membuat atau mengaktifkan hanya grup distribusi universal.

Saya mencoba membuat struktur grup keamanan berbasis peran sehingga jika seseorang meninggalkan atau mengubah pekerjaan Anda hanya perlu mengubah keanggotaan grup "peran" pengguna (Di mana peran itu hanyalah grup keamanan lain). Dalam bentuknya yang paling sederhana peran akan memiliki pengguna untuk anggota dan peran itu sendiri akan menjadi anggota kelompok keamanan yang berpusat pada sumber daya lainnya, misalnya kelompok baca-tulis untuk berbagi. Ada lebih banyak model daripada itu tetapi harus cukup untuk tujuan pertanyaan ini.

Masalahnya muncul ketika saya ingin menambahkan grup peran ini sebagai anggota distribusi. Jika saya mencoba dan menambahkan peran "Manajer Pemasaran" ke daftar distribusi "[email protected]" itu tidak akan meneruskan email ke anggota peran kecuali grup peran keamanan itu universal.

Kelompok universal tidak dapat menjadi anggota kelompok global. Jadi, jika saya ingin mengubah grup peran saya menjadi universal sehingga saya dapat mengirimkannya, saya juga harus mengubah grup-grup itu, peran itu sendiri adalah anggota juga. Ini berarti bahwa saya akan mengkonversi dekat semua kelompok keamanan saya di AD ke universal untuk mendukung struktur yang saya usulkan.

Kami adalah hutan domain tunggal dengan sekitar 1000 pengguna dan saya harapkan begitu semua grup untuk ini memiliki 1000+. Level fungsional domain adalah 2008R2

Jujur saya tidak tahu dampak yang mungkin terjadi pada lingkungan direktori aktif kami. Apakah menjadikan semua grup universal satu-satunya cara untuk melakukan ini jika saya ingin menambahkan peran saya ke grup distribusi? Jawabannya tampaknya ya jika saya ingin mereka digunakan untuk surat . Saya menginginkan ini sehingga dengan demikian pengguna meja bantuan tidak perlu khawatir tentang apa yang dibutuhkan pengguna grup. Mereka hanya perlu tahu "peran" mereka.

Pertanyaan terkait menjawab mengapa saya tidak bisa hanya memiliki grup keamanan yang sederhana tetapi saya ingin tahu apakah struktur yang saya usulkan, artinya saya akan mengubah semua grup saya menjadi universal, memiliki implikasi negatif atau mungkin dianggap praktik buruk.

Mat
sumber
Sementara itu akan menambah (dua kali lipat) jumlah grup yang akan Anda buat, Anda dapat mempertimbangkan setiap peran memiliki dua grup yang berbeda: satu grup keamanan global untuk semua pengaturan dan akses terkait keamanan, dan satu grup distribusi universal untuk perutean e-mail.
Todd Wilcox
@ToddWilcox Ya. Itu bisa berhasil. Saya hanya perlu menggandakan jumlah peran yang saya miliki atau setidaknya peran yang perlu dikaitkan dengan grup surat. Sementara beberapa kesederhanaan peran tunggal akan dihapus itu akan mencegah perubahan 100-an kelompok. Sesuatu untuk direnungkan.
Matt

Jawaban:

9

Jika Anda hanya memiliki satu domain dan semua pengontrol domain Anda adalah katalog global, tidak ada banyak dampak. Praktik terbaik adalah semua pengontrol domain harus GC.

Di hutan besar dengan banyak domain, dapat menguntungkan untuk membatasi kelompok apa yang universal. Hal ini disebabkan atribut anggota grup universal direplikasi ke katalog global. Pertimbangkan skenario dengan hutan besar, banyak domain, sejumlah besar grup universal dengan jumlah anggota tinggi, semua anggota tersebut akan ada dalam katalog global dan direplikasi ke setiap pengontrol / domain domain. Replikasi ini dan peningkatan yang dihasilkan dalam ukuran database dapat diminimalkan dengan membuat grup global di setiap domain, dan memiliki grup universal tunggal di mana anggotanya adalah grup global.

Ini bukan masalah hari ini daripada di masa lalu. Sebelum Windows Server 2003, semua anggota grup direplikasi setiap kali keanggotaan grup diperbarui. Bukan hal yang aneh bagi kelompok-kelompok universal besar untuk terus-menerus mengalami replikasi. Sekarang hanya anggota yang ditambahkan / dihapus yang direplikasi.

Jika lingkungan dan grup AD Anda sudah sangat lama (dibuat sebelum Windows 2003), mungkin mereka belum mendukung kemampuan Replikasi Nilai Tertaut yang baru untuk mereplikasi hanya anggota yang ditambahkan / dihapus, tetapi itu dapat diperbaiki dengan menghapus / menambahkan kembali anggota. Anda dapat mengonfirmasi ini dengan menjalankan repadmin / showobjmeta untuk grup. Jika seorang anggota grup muncul sebagai "LEGACY" dan bukan "PRESENT", itu harus diperbaiki sebelum mengkonversi ke grup universal.

Greg Askew
sumber
2

Cara lain untuk berpikir itu akan membuat grup distribusi dinamis jika Anda tidak ingin mengubah grup Anda.

Grup distribusi dinamis adalah objek grup direktori aktif dengan dukungan e-mail yang dibuat untuk mempercepat pengiriman massal pesan email dan informasi lain dalam organisasi Microsoft Exchange.

Tidak seperti grup distribusi reguler yang berisi kumpulan anggota yang ditentukan, daftar keanggotaan untuk grup distribusi dinamis dihitung setiap kali pesan dikirim ke grup, berdasarkan filter dan ketentuan yang Anda tentukan. Ketika pesan email dikirim ke grup distribusi dinamis, itu dikirim ke semua penerima di organisasi yang cocok dengan kriteria yang ditentukan untuk grup itu.

Dengan begitu jika dalam AD Anda mengetik untuk Pengguna X atribut, seperti, tunjukkan di sana untuk Office, lalu Exchange lakukan sisanya .. (mengambil gambar dari sana )

Anda menambahkan atribut;

masukkan deskripsi gambar di sini

Anda membuat grup;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

Pertukarkan lakukan sisanya, selama Anda tetap memperbarui atribut ketika pengguna keluar dari pekerjaan / kantor lain.

yagmoth555
sumber