Quais são as implicações de converter todos os meus grupos em grupos universais?

10

No Exchange 2010, os grupos de distribuição devem ser universais. Isso é suportado pela documentação

You can create or mail-enable only universal distribution groups.

Estou tentando criar uma estrutura de grupo de segurança baseada em função para que, se alguém sair ou alterar trabalhos, você precise apenas alterar a participação em grupos de uma "função" de usuários (em que a função é apenas outro grupo de segurança). Em sua forma mais simples, as funções teriam usuários para membros e a função em si seria um membro de outros grupos de segurança centrados em recursos, por exemplo. um grupo de leitura e gravação para um compartilhamento. Há mais no modelo do que isso, mas deve ser o suficiente para o propósito desta questão.

O problema vem quando eu quero adicionar esses grupos de função como membros de distribuição. Se eu tentar adicionar uma função de "Gerente de marketing" à lista de distribuição "[email protected]", ela não encaminhará mensagens para os membros da função a menos que o grupo de segurança da função seja universal.

Grupos universais não podem ser membros de grupos globais. Então, se eu quisesse converter meus grupos de funções em universais para que eu pudesse enviá-los por email, eu também teria que mudar os grupos em que a função em si também é membro. Isso significa que eu estaria convertendo perto de todos os meus grupos de segurança no AD para universal para suportar minha estrutura proposta.

Somos uma floresta de domínio único com cerca de 1000 usuários e esperamos que, uma vez que todos os grupos para isso tenham 1000+. O nível funcional do domínio é 2008R2

Eu honestamente não sei do impacto que isso pode ter em nosso ambiente de diretório ativo. Está fazendo todo o grupo universal realmente a única maneira de fazer isso se eu quisesse adicionar minhas funções aos grupos de distribuição? A resposta parece ser sim se eu quiser que eles sejam usados para correspondência . Eu quero isso para que os usuários do help desk não tenham que se preocupar com o que os usuários precisam dos grupos. Eles só precisam saber seu "papel".

A pergunta vinculada responde por que não posso ter apenas grupos de segurança simples, mas quero saber se minha estrutura proposta, o que significa que vou converter quase todos os meus grupos em universais, tem implicações negativas ou talvez seja considerada uma prática ruim.

    
por Matt 22.06.2016 / 14:07

2 respostas

9

Se você tiver apenas um único domínio e todos os seus controladores de domínio forem catálogos globais, não haverá muito impacto. A melhor prática é que todos os controladores de domínio devem ser do GC.

Em florestas grandes com vários domínios, pode ser vantajoso limitar quais grupos são universais. Isso ocorre porque o atributo de membro de grupos universais é replicado para o catálogo global. Considere um cenário com uma floresta grande, vários domínios, um grande número de grupos universais com uma contagem alta de membros, todos esses membros existiriam no catálogo global e seriam replicados para cada controlador / domínio de domínio. Essa replicação e o aumento resultante no tamanho do banco de dados poderiam ser minimizados, criando um grupo global em cada domínio e tendo um único grupo universal em que os membros são os grupos globais.

Isso é menos um problema hoje do que no passado. Antes do Windows Server 2003, todos os membros do grupo eram replicados sempre que a associação ao grupo era atualizada. Não era incomum que grandes grupos universais estivessem em um estado constante de replicação. Agora apenas os membros adicionados / removidos são replicados.

Se o seu ambiente AD e grupos são muito antigos (criados antes do Windows 2003), é possível que eles ainda não suportem o novo recurso Replicação de Valor Vinculado para replicar apenas os membros adicionados / removidos, mas que podem ser corrigidos removendo / re-adicionando os membros. Você pode confirmar isso executando repadmin / showobjmeta para o grupo. Se um membro do grupo aparecer como "LEGADO" em vez de "PRESENTE", ele deve ser corrigido antes de converter para um grupo universal.

    
por 22.06.2016 / 15:12
2

Outra maneira de pensar seria criar um grupo dinâmico de distribuição se você não quiser alterar seus grupos.

Dynamic distribution groups are mail-enabled Active Directory group objects that are created to expedite the mass sending of email messages and other information within a Microsoft Exchange organization.

Unlike regular distribution groups that contain a defined set of members, the membership list for dynamic distribution groups is calculated each time a message is sent to the group, based on the filters and conditions that you define. When an email message is sent to a dynamic distribution group, it’s delivered to all recipients in the organization that match the criteria defined for that group.

Dessa forma, se no AD você digitar um User X, um atributo, como, mostre lá para o Office, então o Exchange fará o resto ... (a imagem foi tirada de )

Você adiciona o atributo;

Vocêcriaogrupo;

New-DynamicDistributionGroup-Name"Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

O Exchange faz o resto, desde que você mantenha seu atributo atualizado quando um usuário sair de outro emprego / escritório.

    
por 07.07.2016 / 20:51