我不是 AD 管理员,但需要更好地掌握良好的 AD 实践,我找不到关于如何管理可能具有与安全组相同成员的分发组的明确答案(例如,SharePoint 的安全组,其成员应接收邮件):这些组是否应保持完全独立并手动管理,或者如果不是,哪个组应该导入另一个组?安全组可以导入到分发组中吗?从长远来看,嵌套是好还是坏做法?还有其他方法可以将分发同步出安全组吗?我还刚刚发现安全组可以“启用邮件”,我不知道从哪个版本开始。这是管理这种常见情况的正确方法吗?它会带来复杂性吗?是否有类似AGDLP管理分发组的方法?(欢迎提供 Microsoft 文档中的指针)
我确实读过这个问题安全组内的嵌套分发组,但没有一个解决方案!
答案1
SG 和 DG 之间的区别仅在于 DG 不能用于控制访问权限/许可。如果您已经拥有包含所有所需成员的 SG,则创建另一个组会增加管理开销。只需为现有 SG 启用邮件即可。
至于嵌套,它主要适用于本地产品,如 AD/Exchange/SharePoint,但可能不适用于 Microsoft 365 云服务的某些场景。这实际上取决于你到底想实现什么