Was bedeutet es, alle meine Gruppen in universelle Gruppen umzuwandeln?

In Exchange 2010 müssen Verteilergruppen universell sein. Dies wird durch die Dokumentation unterstützt

Sie können nur universelle Verteilergruppen erstellen oder per E-Mail aktivieren.

Ich versuche, eine rollenbasierte Sicherheitsgruppenstruktur zu erstellen, sodass Sie, wenn jemand Jobs verlässt oder wechselt, nur die Gruppenmitgliedschaft einer Benutzerrolle ändern müssen (wobei die Rolle nur eine andere Sicherheitsgruppe ist). In ihrer einfachsten Form hätten Rollen Benutzer für Mitglieder, und die Rolle selbst wäre Mitglied anderer ressourcenzentrierter Sicherheitsgruppen, z. B. einer Lese- / Schreibgruppe für eine Freigabe. Das Modell hat mehr zu bieten, aber es sollte für den Zweck dieser Frage ausreichen.

Das Problem tritt auf, wenn ich diese Rollengruppen als Verteilungsmitglieder hinzufügen möchte. Wenn ich versuche, der Verteilerliste "[email protected]" eine "Marketing Manager" -Rolle hinzuzufügen, werden keine E-Mails an die Rollenmitglieder weitergeleitet, es sei denn, die Rollensicherheitsgruppe ist universell.

Universelle Gruppen können jedoch nicht Mitglieder globaler Gruppen sein. Wenn ich also meine Rollengruppen in Universal konvertieren wollte, damit ich sie per E-Mail aktivieren kann, müsste ich auch die Gruppen ändern, zu denen die Rolle selbst gehört. Dies bedeutet, dass ich in der Nähe aller meiner Sicherheitsgruppen in AD auf Universal konvertieren würde, um meine vorgeschlagene Struktur zu unterstützen.

Wir sind eine einzelne Domänengesamtstruktur mit ungefähr 1000 Benutzern, und ich würde erwarten, wenn alle Gruppen dafür 1000+ haben. Die Funktionsebene der Domäne ist 2008R2

Ich weiß ehrlich gesagt nicht, welche Auswirkungen dies auf unsere Active Directory-Umgebung haben könnte. Ist es wirklich die einzige Möglichkeit, die gesamte Gruppe universell zu machen, wenn ich meine Rollen zu Verteilergruppen hinzufügen möchte? Die Antwort scheint ja zu sein, wenn ich möchte, dass sie für E-Mails verwendet werden . Ich möchte dies, damit sich Helpdesk-Benutzer nicht darum kümmern müssen, welche Gruppen Benutzer benötigen. Sie müssen nur ihre "Rolle" kennen.

Die verknüpfte Frage beantwortet, warum ich nicht nur einfache Sicherheitsgruppen haben kann, sondern auch wissen möchte, ob meine vorgeschlagene Struktur, die bedeutet, dass ich in der Nähe aller meiner Gruppen zu universellen konvertiere, negative Auswirkungen hat oder möglicherweise als schlechte Praxis angesehen wird.

Wenn Sie nur eine einzige Domäne haben und alle Ihre Domänencontroller globale Kataloge sind, hat dies keine großen Auswirkungen. Best Practice ist, dass alle Domänencontroller GCs sein sollten.

In großen Wäldern mit mehreren Domänen kann es vorteilhaft sein, die universellen Gruppen einzuschränken. Dies liegt daran, dass das Mitgliedsattribut universeller Gruppen in den globalen Katalog repliziert wird. Stellen Sie sich ein Szenario mit einer großen Gesamtstruktur, mehreren Domänen, einer großen Anzahl universeller Gruppen mit einer hohen Mitgliederzahl vor. Alle diese Mitglieder wären im globalen Katalog vorhanden und würden auf jeden Domänencontroller / jede Domäne repliziert. Diese Replikation und die daraus resultierende Vergrößerung der Datenbankgröße könnten minimiert werden, indem in jeder Domäne eine globale Gruppe erstellt wird und eine einzige universelle Gruppe vorhanden ist, in der die Mitglieder die globalen Gruppen sind.

Dies ist heute weniger ein Problem als früher. Vor Windows Server 2003 wurden alle Gruppenmitglieder jedes Mal repliziert, wenn die Gruppenmitgliedschaft aktualisiert wurde. Es war nicht ungewöhnlich, dass sich große universelle Gruppen in einem konstanten Replikationszustand befanden. Jetzt werden nur die hinzugefügten / entfernten Mitglieder repliziert.

Wenn Ihre AD-Umgebung und -Gruppen sehr alt sind (vor Windows 2003 erstellt), unterstützen sie möglicherweise noch nicht die neue Replikationsfunktion für verknüpfte Werte, um nur die hinzugefügten / entfernten Mitglieder zu replizieren. Dies kann jedoch durch Entfernen / erneutes Hinzufügen behoben werden die Mitglieder. Sie können dies bestätigen, indem Sie repadmin / showobjmeta für die Gruppe ausführen. Wenn ein Gruppenmitglied als "LEGACY" anstelle von "PRESENT" angezeigt wird, sollte dies vor der Konvertierung in eine universelle Gruppe behoben werden.

Eine andere Möglichkeit wäre, eine dynamische Verteilergruppe zu erstellen, wenn Sie Ihre Gruppen nicht ändern möchten.

Dynamische Verteilergruppen sind E-Mail-fähige Active Directory-Gruppenobjekte, die erstellt werden, um das Massenversenden von E-Mail-Nachrichten und anderen Informationen innerhalb einer Microsoft Exchange-Organisation zu beschleunigen.

Im Gegensatz zu regulären Verteilergruppen, die eine definierte Gruppe von Mitgliedern enthalten, wird die Mitgliederliste für dynamische Verteilergruppen jedes Mal berechnet, wenn eine Nachricht an die Gruppe gesendet wird, basierend auf den von Ihnen definierten Filtern und Bedingungen. Wenn eine E-Mail-Nachricht an eine dynamische Verteilergruppe gesendet wird, wird sie an alle Empfänger in der Organisation gesendet, die den für diese Gruppe definierten Kriterien entsprechen.

Wenn Sie in AD für einen Benutzer X ein Attribut eingeben, z. B. "Für das Office anzeigen", erledigt Exchange den Rest. (Bild von dort aufgenommen )

Sie fügen das Attribut hinzu.

Sie erstellen die Gruppe;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

Exchange erledigt den Rest, solange Sie Ihr Attribut auf dem neuesten Stand halten, wenn ein Benutzer für einen anderen Job / ein anderes Büro kündigt.