Active Directory 通訊組與安全組最佳實踐

不是 AD 管理員，但需要通過良好的 AD 實踐變得更好，我無法找到關於如何管理可能具有與安全組相同成員的通訊組的明確答案（例如 SharePoint 的安全組，其成員應接收郵件） ：這些團體是否應該完全獨立並由人手管理，或者如果不是，應該由哪一個導入另一個？安全組可以導入通訊組嗎？從長遠來看，嵌套是好還是壞的做法？任何其他方式來同步安全組之外的分發？我也剛剛發現安全組可以“啟用郵件”，我不知道從哪個版本開始。這完全是管理這種常見情況的正確方法嗎？它會引入複雜性嗎？有沒有類似的方法AGDLP用於管理通訊組？（對微軟文件的指針表示讚賞）

我確實讀過這個問題nesting-distribution-group-within-security-group，但沒有一個解決方案！

SG 和 DG 的區別僅在於 DG 不能用於控制訪問權限/權限。如果您已經擁有所有需要的成員的 SG，那麼創建另一個組會增加管理成本。只需郵件啟用現有的 SG。

至於嵌套，它主要適用於本地產品，如 AD/Exchange/SharePoint，但可能不適用於 Microsoft 365 雲服務的某些場景。這真的取決於你到底想要達到什麼目標

引用自：https://serverfault.com/questions/1076881