Каковы последствия преобразования всех моих групп в универсальные группы?

В Exchange 2010 группы рассылки должны быть универсальными. Это подтверждается документацией

Вы можете создавать или включать почту только универсальные группы рассылки.

Я пытаюсь создать структуру групп безопасности на основе ролей, чтобы, если кто-то покидает или меняет работу, вам нужно только изменить членство в группах «роли» пользователей (где роль - это просто другая группа безопасности). В своей простейшей форме роли будут иметь пользователей для участников, а сама роль будет членом других ориентированных на ресурсы групп безопасности, например, группы чтения-записи для общего ресурса. Это нечто большее, чем модель, но этого должно быть достаточно для цели этого вопроса.

Проблема возникает из-за того, что я хочу добавить эти группы ролей в качестве участников распространения. Если я попытаюсь добавить роль «Менеджер по маркетингу» в список рассылки «marketing@domain.com», она не будет пересылать почту участникам роли, если группа безопасности роли не является универсальной.

Универсальные группы не могут быть членами глобальных групп. Итак, если бы я хотел преобразовать свои группы ролей в универсальные, чтобы я мог включить их по почте, мне бы тогда также пришлось изменить группы, в которые входит и сама роль. Это означает, что я буду преобразовывать почти все свои группы безопасности в AD в универсальные для поддержки предложенной структуры.

Мы являемся одним доменным лесом с около 1000 пользователей, и я ожидаю, что как только все группы для этого будут иметь 1000+. Функциональный уровень домена 2008R2

Честно говоря, я не знаю, какое влияние это может оказать на нашу среду активного каталога. Действительно ли создание всей группы универсальным - единственный способ сделать это, если я хочу добавить свои роли в группы рассылки? Ответ, кажется, да, если я хочу, чтобы они использовались для почты . Я хочу, чтобы пользователи службы поддержки не беспокоились о том, что им нужно. Им просто нужно знать свою «роль».

Связанный вопрос отвечает, почему у меня не может быть просто простых групп безопасности, но я хочу знать, имеет ли предложенная мной структура, то есть, что я буду преобразовывать почти все свои группы в универсальные, какие-либо негативные последствия или, возможно, будет считаться плохой практикой.

Если у вас есть только один домен, и все ваши контроллеры домена являются глобальными каталогами, это не сильно повлияет. Рекомендуется, чтобы все контроллеры домена были GC.

В больших лесах с несколькими доменами может быть полезно ограничить универсальные группы. Это связано с тем, что атрибуты участников универсальных групп реплицируются в глобальный каталог. Рассмотрим сценарий с большим лесом, несколькими доменами, большим количеством универсальных групп с большим количеством участников, и все эти члены будут присутствовать в глобальном каталоге и будут реплицированы на каждый контроллер домена / домен. Эту репликацию и полученное в результате увеличение размера базы данных можно минимизировать, создав глобальную группу в каждом домене и имея единую универсальную группу, членами которой являются глобальные группы.

Сегодня это менее важная проблема, чем в прошлом. До Windows Server 2003 все члены группы реплицировались при каждом обновлении членства в группе. Не было ничего необычного в том, что большие универсальные группы постоянно находились в состоянии репликации. Теперь реплицируются только добавленные / удаленные участники.

Если ваша среда и группы AD очень старые (созданные до Windows 2003), возможно, они еще могут не поддерживать новую возможность репликации связанных значений для репликации только добавленных / удаленных членов, но это можно исправить, удалив / повторно добавив участники. Вы можете подтвердить это, запустив repadmin / showobjmeta для группы. Если член группы отображается как «LEGACY» вместо «PRESENT», его следует исправить перед преобразованием в универсальную группу.

Еще один способ подумать о том, чтобы создать динамическую группу рассылки, если вы не хотите менять свои группы.

Динамические группы рассылки - это объекты групп Active Directory с включенной поддержкой почты, которые создаются для ускорения массовой отправки сообщений электронной почты и другой информации в организации Microsoft Exchange.

В отличие от обычных групп рассылки, которые содержат определенный набор участников, список членства для динамических групп рассылки рассчитывается при каждой отправке сообщения в группу на основе определенных вами фильтров и условий. Когда сообщение электронной почты отправляется в динамическую группу рассылки, оно доставляется всем получателям в организации, которые соответствуют критериям, определенным для этой группы.

Таким образом, если в AD вы вводите для пользователя X атрибут, например, показывает там для Office, то Exchange делает все остальное .. (изображение взято оттуда )

Вы добавляете атрибут;

Вы создаете группу;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

Exchange сделает все остальное до тех пор, пока вы сохраняете свой атрибут в актуальном состоянии, когда пользователь уходит на другую работу / офис.