我知道活动目录中安全组和通讯组的基本用途。安全组用于访问网络资源,而通讯组用于在邮件中发送通讯组列表。但我的疑问是,安全组也可用于使用启用邮件的安全组将邮件分发到该组。如果安全组已用于安全和分发邮件,那么在活动目录中使用分发组有什么需要?
AskOverflow.Dev
我知道活动目录中安全组和通讯组的基本用途。安全组用于访问网络资源,而通讯组用于在邮件中发送通讯组列表。但我的疑问是,安全组也可用于使用启用邮件的安全组将邮件分发到该组。如果安全组已用于安全和分发邮件,那么在活动目录中使用分发组有什么需要?
安全组最终位于用户(或计算机)的 Kerberos 令牌中,因此您可以根据组成员身份分配权限。
但是,Kerberos 令牌有最大大小限制,如果用户属于多个组,就会发生奇怪的事情
登录也可能完全失败
这种情况通常被称为“令牌膨胀”
通讯组不会添加到 Kerberos 令牌(这就是为什么您不能基于通讯组授予/拒绝权限的原因),从而避免增加用户令牌的大小。
简而言之,请谨慎使用安全组,因为您当然不希望达到每个用户的最大组数!