Di Exchange 2010, grup distribusi harus universal. Ini didukung oleh dokumentasi
Anda dapat membuat atau mengaktifkan hanya grup distribusi universal.
Saya mencoba membuat struktur grup keamanan berbasis peran sehingga jika seseorang meninggalkan atau mengubah pekerjaan Anda hanya perlu mengubah keanggotaan grup "peran" pengguna (Di mana peran itu hanyalah grup keamanan lain). Dalam bentuknya yang paling sederhana peran akan memiliki pengguna untuk anggota dan peran itu sendiri akan menjadi anggota kelompok keamanan yang berpusat pada sumber daya lainnya, misalnya kelompok baca-tulis untuk berbagi. Ada lebih banyak model daripada itu tetapi harus cukup untuk tujuan pertanyaan ini.
Masalahnya muncul ketika saya ingin menambahkan grup peran ini sebagai anggota distribusi. Jika saya mencoba dan menambahkan peran "Manajer Pemasaran" ke daftar distribusi "[email protected]" itu tidak akan meneruskan email ke anggota peran kecuali grup peran keamanan itu universal.
Kelompok universal tidak dapat menjadi anggota kelompok global. Jadi, jika saya ingin mengubah grup peran saya menjadi universal sehingga saya dapat mengirimkannya, saya juga harus mengubah grup-grup itu, peran itu sendiri adalah anggota juga. Ini berarti bahwa saya akan mengkonversi dekat semua kelompok keamanan saya di AD ke universal untuk mendukung struktur yang saya usulkan.
Kami adalah hutan domain tunggal dengan sekitar 1000 pengguna dan saya harapkan begitu semua grup untuk ini memiliki 1000+. Level fungsional domain adalah 2008R2
Jujur saya tidak tahu dampak yang mungkin terjadi pada lingkungan direktori aktif kami. Apakah menjadikan semua grup universal satu-satunya cara untuk melakukan ini jika saya ingin menambahkan peran saya ke grup distribusi? Jawabannya tampaknya ya jika saya ingin mereka digunakan untuk surat . Saya menginginkan ini sehingga dengan demikian pengguna meja bantuan tidak perlu khawatir tentang apa yang dibutuhkan pengguna grup. Mereka hanya perlu tahu "peran" mereka.
Pertanyaan terkait menjawab mengapa saya tidak bisa hanya memiliki grup keamanan yang sederhana tetapi saya ingin tahu apakah struktur yang saya usulkan, artinya saya akan mengubah semua grup saya menjadi universal, memiliki implikasi negatif atau mungkin dianggap praktik buruk.
Jawaban:
Jika Anda hanya memiliki satu domain dan semua pengontrol domain Anda adalah katalog global, tidak ada banyak dampak. Praktik terbaik adalah semua pengontrol domain harus GC.
Di hutan besar dengan banyak domain, dapat menguntungkan untuk membatasi kelompok apa yang universal. Hal ini disebabkan atribut anggota grup universal direplikasi ke katalog global. Pertimbangkan skenario dengan hutan besar, banyak domain, sejumlah besar grup universal dengan jumlah anggota tinggi, semua anggota tersebut akan ada dalam katalog global dan direplikasi ke setiap pengontrol / domain domain. Replikasi ini dan peningkatan yang dihasilkan dalam ukuran database dapat diminimalkan dengan membuat grup global di setiap domain, dan memiliki grup universal tunggal di mana anggotanya adalah grup global.
Ini bukan masalah hari ini daripada di masa lalu. Sebelum Windows Server 2003, semua anggota grup direplikasi setiap kali keanggotaan grup diperbarui. Bukan hal yang aneh bagi kelompok-kelompok universal besar untuk terus-menerus mengalami replikasi. Sekarang hanya anggota yang ditambahkan / dihapus yang direplikasi.
Jika lingkungan dan grup AD Anda sudah sangat lama (dibuat sebelum Windows 2003), mungkin mereka belum mendukung kemampuan Replikasi Nilai Tertaut yang baru untuk mereplikasi hanya anggota yang ditambahkan / dihapus, tetapi itu dapat diperbaiki dengan menghapus / menambahkan kembali anggota. Anda dapat mengonfirmasi ini dengan menjalankan repadmin / showobjmeta untuk grup. Jika seorang anggota grup muncul sebagai "LEGACY" dan bukan "PRESENT", itu harus diperbaiki sebelum mengkonversi ke grup universal.
sumber
Cara lain untuk berpikir itu akan membuat grup distribusi dinamis jika Anda tidak ingin mengubah grup Anda.
Dengan begitu jika dalam AD Anda mengetik untuk Pengguna X atribut, seperti, tunjukkan di sana untuk Office, lalu Exchange lakukan sisanya .. (mengambil gambar dari sana )
Anda menambahkan atribut;
Anda membuat grup;
Pertukarkan lakukan sisanya, selama Anda tetap memperbarui atribut ketika pengguna keluar dari pekerjaan / kantor lain.
sumber