在 Exchange 2010 中,通讯组必须是通用的。这由文档支持
您只能创建或启用邮件的通用通讯组。
我正在尝试创建一个基于角色的安全组结构,这样如果有人离开或更换工作,您只需更改用户“角色”的组成员身份(其中角色只是另一个安全组)。在其最简单的形式中,角色将拥有用户作为成员,并且角色本身将是其他以资源为中心的安全组的成员,例如共享的读写组。该模型还有更多内容,但对于这个问题来说应该足够了。
当我想将这些角色组添加为分发成员时,问题就出现了。如果我尝试将“营销经理”角色添加到“[email protected]”分发列表,它不会将邮件转发给角色成员,除非角色安全组是通用的。
但是,通用组不能是全局组的成员。因此,如果我想将我的角色组转换为通用角色组,以便我可以通过邮件启用它们,那么我还必须更改角色本身也是其中成员的组。这意味着我会将 AD 中的所有安全组都转换为通用安全组,以支持我提议的结构。
我们是一个拥有大约 1000 个用户的单域森林,我希望一旦为此的所有组都拥有 1000 多个用户。域的功能级别是2008R2
老实说,我不知道这可能会对我们的活动目录环境产生什么影响。如果我想将我的角色添加到通讯组,那么让所有组通用真的是唯一的方法吗?如果我希望它们用于邮件,答案似乎是肯定的。我确实想要这样,这样帮助台用户就不必担心用户需要什么组。他们只需要知道他们的“角色”。
链接的问题回答了为什么我不能只拥有简单的安全组,但我想知道我提出的结构,这意味着我将在我的所有组附近转换为通用的,是否有任何负面影响,或者可能被认为是一种不好的做法。
如果您只有一个域并且所有域控制器都是全局编录,则影响不大。最佳实践是所有域控制器都应该是 GC。
在具有多个域的大型林中,限制哪些组是通用的可能是有利的。这是由于通用组的成员属性被复制到全局编录中。考虑一个具有大型林、多个域、大量具有高成员数的通用组的场景,所有这些成员都将存在于全局编录中并被复制到每个域控制器/域。通过在每个域中创建一个全局组并拥有一个成员为全局组的单个通用组,可以最大限度地减少这种复制以及由此导致的数据库大小增加。
与过去相比,今天这不是一个问题。在 Windows Server 2003 之前,每次更新组成员身份时都会复制所有组成员。大型通用群体处于不断复制的状态并不罕见。现在只复制添加/删除的成员。
如果您的 AD 环境和组非常旧(在 Windows 2003 之前创建),它们可能还不支持仅复制添加/删除的成员的新链接值复制功能,但这可以通过删除/重新添加来修复成员。您可以通过对组运行 repadmin /showobjmeta 来确认这一点。如果组成员显示为“LEGACY”而不是“PRESENT”,则应在转换为通用组之前对其进行修复。
如果您不想更改组,另一种思考方式是创建动态通讯组。
这样,如果您在 AD 中为用户 X 键入一个属性,例如,为 Office 显示那里,然后 Exchange 完成其余的工作..(图片取自那里)
您添加属性;
您创建组;
Exchange 会完成剩下的工作,只要您在用户退出另一份工作/办公室时保持您的属性是最新的。