我知道 Active Directory 中的安全组和通讯组的基本用途。安全组用于访问网络资源,通讯组用于发送邮件通讯组列表。但我的疑问是,安全组也可以用于使用启用邮件的安全组将邮件分发到该组。如果安全组既用于安全又用于分发邮件,那么在 Active Directory 中使用通讯组有什么必要呢?
答案1
安全组最终位于用户(或计算机)的 Kerberos 令牌中,因此您可以根据组成员身份分配权限。
但是,Kerberos 令牌具有最大大小限制,并且如果用户属于多个组,就会发生奇怪的事情
[...]在进行身份验证时,用户可能会看到诸如“HTTP 400 - 错误请求(请求标头太长)”之类的消息。用户在访问资源时也会遇到问题,并且用户的组策略设置可能无法正确更新。
登录可能也彻底失败
[...]由于以下错误,系统无法让您登录:在登录尝试期间,用户的安全上下文累积了过多的安全 ID。请重试或咨询系统管理员。
这种情况通常被称为“代币膨胀”
分发组不会被添加到 Kerberos 令牌中(这就是您不能根据分发组授予/拒绝权限的原因),从而避免增加用户令牌的大小。
简而言之,请谨慎使用安全组,因为您肯定不希望每个用户达到最大组数!