すべてのグループをユニバーサルグループに変換するとどうなりますか?

10

Exchange 2010では、配布グループはユニバーサルである必要があります。これはドキュメントサポートされています

ユニバーサル配布グループのみを作成するか、メールを有効にすることができます。

私は、役割ベースのセキュリティグループ構造を作成しようとしています。そのため、誰かが仕事を辞めたり変更したりする場合、ユーザーの「役割」のグループメンバーシップを変更するだけで済みます(役割は別のセキュリティグループです)。最も単純な形式では、ロールにはメンバーのユーザーが含まれ、ロール自体は他のリソース中心のセキュリティグループ(共有の読み取り/書き込みグループなど)のメンバーになります。モデルにはそれ以上のものがありますが、この質問の目的には十分です。

問題は、これらの役割グループを配布メンバーとして追加するときに発生します。「Marketing Manager」ロールを「marketing@domain.com」配布リストに追加しようとすると、ロールセキュリティグループがユニバーサルでない限り、メールはロールメンバーに転送されません。

ただし、ユニバーサルグループをグローバルグループのメンバーにすることはできません。そのため、メールを有効にできるように役割グループをユニバーサルに変換したい場合は、役割自体もメンバーになっているグループも変更する必要があります。これは、提案された構造をサポートするために、ADのほぼすべてのセキュリティグループをユニバーサルに変換することを意味します。

私たちは約1000ユーザーの単一ドメインフォレストであり、このためのすべてのグループが1000以上になるようになったら期待します。ドメインの機能レベルは2008R2です

正直なところ、これがActive Directory環境に与える影響については知りません。配布グループに役割を追加したい場合、これを行う唯一の方法は、すべてのグループをユニバーサルにすることですか?メールに使用したい場合は、「はい」と答えます。ヘルプデスクのユーザーがユーザーが必要とするグループについて心配する必要がないように、これが必要です。彼らは彼らの「役割」を知る必要があるだけです。

リンクされた質問は、単純なセキュリティグループだけでは不十分な理由を回答しますが、提案された構造、つまりすべてのグループの近くをユニバーサルに変換するか、否定的な影響があるか、または悪い習慣と見なされるかどうかを知りたいです。

active-directory  exchange  exchange-2010  groups 
マット
ソース
作成するグループの数は(2倍)追加されますが、各ロールに2つの異なるグループがあることを考慮できます。1つはすべてのセキュリティ関連の設定とアクセス用のグローバルセキュリティグループ、もう1つは電子メールルーティング用のユニバーサル配布グループです。
トッドウィルコックス
@ToddWilcoxはい。それはうまくいくかもしれません。私が持つ役割の量を2倍にするか、少なくともメールグループを関連付ける必要がある役割を2倍にするだけで済みます。単一の役割の単純さの一部は削除されますが、数百のグループを変更できなくなります。熟考する何か。
Matt

回答:

9

ドメインが1つしかなく、すべてのドメインコントローラーがグローバルカタログである場合、大きな影響はありません。ベストプラクティスは、すべてのドメインコントローラがGCであることです。

複数のドメインを持つ大規模なフォレストでは、ユニバーサルなグループを制限することが有利な場合があります。これは、ユニバーサルグループのメンバー属性がグローバルカタログに複製されるためです。大規模なフォレスト、複数のドメイン、メンバー数の多いユニバーサルグループが多数あるシナリオを考えます。これらのメンバーはすべてグローバルカタログに存在し、すべてのドメインコントローラー/ドメインに複製されます。この複製と、それに伴うデータベースサイズの増加は、各ドメインにグローバルグループを作成し、メンバーがグローバルグループである単一のユニバーサルグループを持つことで最小限に抑えることができます。

これは、以前よりも今日の問題ではありません。Windows Server 2003以前は、グループメンバーシップが更新されるたびに、すべてのグループメンバーが複製されていました。大規模なユニバーサルグループが常にレプリケーション状態にあることは珍しくありません。これで、追加/削除されたメンバーのみが複製されます。

AD環境とグループが非常に古い(Windows 2003より前に作成された)場合、追加/削除されたメンバーのみを複製する新しいLinked Value Replication機能をまだサポートしていない可能性がありますが、削除/再追加することで修正できますメンバー。これを確認するには、グループに対してrepadmin / showobjmetaを実行します。グループメンバーが「PRESENT」ではなく「LEGACY」と表示される場合は、ユニバーサルグループに変換する前に修正する必要があります。

グレッグ・アスキュー
ソース
2

グループを変更したくない場合は、動的配布グループを作成することも考えられます。

動的配布グループは、メールが有効なActive Directoryグループオブジェクトであり、Microsoft Exchange組織内での電子メールメッセージやその他の情報の大量送信を促進するために作成されます。

定義済みのメンバーのセットを含む通常の配布グループとは異なり、動的配布グループのメンバーシップリストは、定義したフィルターと条件に基づいて、メッセージがグループに送信されるたびに計算されます。電子メールメッセージが動的配布グループに送信されると、そのグループに定義された基準に一致する組織内のすべての受信者に配信されます。

このようにして、ADでユーザーXの属性を入力すると、たとえばOfficeの属性が表示され、Exchangeが残りの処理を行います(画像はそこから取得されます)。

属性を追加します。

ここに画像の説明を入力してください

グループを作成します。

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

ユーザーが別の仕事/オフィスを辞めたときに属性を最新に保つ限り、Exchangeは残りの作業を行います。

yagmoth555
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.