將我的所有組轉換為通用組的含義是什麼?
在 Exchange 2010 中,通訊組必須是通用的。這由文件支持
您只能創建或啟用郵件的通用通訊組。
我正在嘗試創建一個基於角色的安全組結構,這樣如果有人離開或更換工作,您只需更改使用者“角色”的組成員身份(其中角色只是另一個安全組)。在其最簡單的形式中,角色將擁有使用者作為成員,並且角色本身將是其他以資源為中心的安全組的成員,例如共享的讀寫組。該模型還有更多內容,但對於這個問題來說應該足夠了。
當我想將這些角色組添加為分發成員時,問題就出現了。如果我嘗試將“行銷經理”角色添加到“marketing@domain.com”分發列表,它不會將郵件轉發給角色成員*,除非*角色安全組是通用的。
但是,通用組不能是全域組的成員。因此,如果我想將我的角色組轉換為通用角色組,以便我可以通過郵件啟用它們,那麼我還必須更改角色本身也是其中成員的組。這意味著我會將 AD 中的所有安全組都轉換為通用安全組,以支持我提議的結構。
我們是一個擁有大約 1000 個使用者的單域森林,我希望一旦為此的所有組都擁有 1000 多個使用者。域的功能級別是2008R2
老實說,我不知道這可能會對我們的活動目錄環境產生什麼影響。如果我想將我的角色添加到通訊組,那麼讓所有組通用真的是唯一的方法嗎?如果我希望它們用於郵件,答案似乎是肯定的。我確實想要這樣,這樣幫助台使用者就不必擔心使用者需要什麼組。他們只需要知道他們的“角色”。
連結的問題回答了為什麼我不能只擁有簡單的安全組,但我想知道我提出的結構,這意味著我將在我的所有組附近轉換為通用結構,是否有任何負面影響,或者可能被認為是一種不好的做法。
如果您只有一個域並且所有域控制器都是全域編錄,則影響不大。最佳實踐是所有域控制器都應該是 GC。
在具有多個域的大型林中,限制哪些組是通用的可能是有利的。這是由於通用組的成員屬性被複製到全域編錄中。考慮一個具有大型林、多個域、大量具有高成員數的通用組的場景,所有這些成員都將存在於全域編錄中並被複製到每個域控制器/域。通過在每個域中創建一個全域組並擁有一個成員為全域組的單個通用組,可以最大限度地減少這種複制以及由此導致的數據庫大小增加。
與過去相比,今天這不是一個問題。在 Windows Server 2003 之前,每次更新組成員身份時都會複製所有組成員。大型通用群體處於不斷複製的狀態並不罕見。現在只複製添加/刪除的成員。
如果您的 AD 環境和組非常舊(在 Windows 2003 之前創建),它們可能還不支持新的連結值複製功能以僅複製添加/刪除的成員,但這可以通過刪除/重新添加來修復成員。您可以通過對組執行 repadmin /showobjmeta 來確認這一點。如果組成員顯示為“LEGACY”而不是“PRESENT”,則應在轉換為通用組之前對其進行修復。