在 Exchange 2010 中,通讯组必须是通用的。这是有文献支持
您只能创建通用通讯组或为其启用邮件功能。
我正在尝试创建一个基于角色的安全组结构,这样如果有人离职或换工作,你只需要更改用户“角色”的组成员身份(其中角色只是另一个安全组)。最简单的角色形式是用户作为成员,角色本身是其他以资源为中心的安全组的成员,例如共享的读写组。该模型还有更多内容,但对于这个问题来说应该足够了。
问题出现在我想将这些角色组添加为分发成员时。如果我尝试将“营销经理”角色添加到“[电子邮件保护]“分发列表不会将邮件转发给角色成员除非角色安全组是通用的。
但是通用组不能成为全局组的成员。因此,如果我想将我的角色组转换为通用组以便可以启用邮件,那么我还必须更改角色本身所属的组。这意味着我将把 AD 中几乎所有的安全组都转换为通用组以支持我提议的结构。
我们是一个拥有约 1000 名用户的单域林,我希望一旦所有组都建立起来,用户数量将超过 1000 人。域的功能级别是 2008R2
说实话,我不知道这会对我们的 Active Directory 环境产生什么影响。如果我想将我的角色添加到分发组中,那么让所有组都通用真的是唯一的方法吗?如果我想用它们来邮寄,答案似乎是肯定的我确实希望这样,这样帮助台用户就不必担心用户需要什么组。他们只需要知道他们的“角色”。
链接的问题回答了为什么我不能只拥有简单的安全组,但我想知道我提出的结构(这意味着我将把几乎所有组都转换为通用组)是否有任何负面影响或可能被认为是一种不好的做法。
答案1
如果您只有一个域,并且所有域控制器都是全局目录,则影响不大。最佳做法是所有域控制器都应为 GC。
在具有多个域的大型林中,限制哪些组是通用的可能很有利。这是因为通用组的成员属性被复制到全局编录。考虑一个场景,其中有一个大型林、多个域、大量成员数高的通用组,所有这些成员都存在于全局编录中并被复制到每个域控制器/域。通过在每个域中创建一个全局组,并拥有一个成员为全局组的通用组,可以最大限度地减少这种复制以及由此导致的数据库大小的增加。
与过去相比,现在这个问题已经不大了。在 Windows Server 2003 之前,每次更新组成员时,都会复制所有组成员。大型通用组处于不断复制的状态并不罕见。现在,只会复制添加/删除的成员。
如果您的 AD 环境和组非常旧(在 Windows 2003 之前创建),则它们可能尚不支持新的“链接值复制”功能,无法仅复制已添加/已删除的成员,但可以通过删除/重新添加成员来解决此问题。您可以通过对组运行 repadmin /showobjmeta 来确认这一点。如果组成员显示为“LEGACY”而不是“PRESENT”,则应在转换为通用组之前对其进行修复。
答案2
如果您不想更改您的组,另一种思考方式就是创建动态分发组。
动态通讯组是启用邮件的 Active Directory 组对象,旨在加快 Microsoft Exchange 组织内电子邮件和其他信息的批量发送。
与包含一组已定义成员的常规通讯组不同,动态通讯组的成员列表在每次向该组发送邮件时都会根据您定义的筛选器和条件进行计算。当电子邮件发送到动态通讯组时,它会被传递给组织中符合该组定义的条件的所有收件人。
这样,如果您在 AD 中为用户 X 键入一个属性,例如,在那里显示 Office,那么 Exchange 就会完成剩下的工作..(图片取自那里)
您添加属性;
您创建该群组;
New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }
只要您在用户离职去另一个工作/办公室时保持您的属性为最新,Exchange 就会完成其余的工作。