Tüm grupları evrensel gruplara dönüştürmenin sonuçları nelerdir?


10

Exchange 2010'da dağıtım grupları evrensel olmalıdır. Bu belgeler tarafından desteklenir

Yalnızca evrensel dağıtım grupları oluşturabilir veya posta ile etkinleştirebilirsiniz.

Birisi işleri terk veya değiştirmek eğer sadece bir kullanıcı "rol" grup üyeliğini değiştirmek zorunda böylece rol tabanlı bir güvenlik grubu yapısı oluşturmaya çalışıyorum (rol sadece başka bir güvenlik grubu nerede). En basit haliyle, roller üyeler için kullanıcılara sahip olacak ve rolün kendisi, kaynak için okuma yazma grubu gibi diğer kaynak merkezli güvenlik gruplarının bir üyesi olacaktır. Modelde bundan daha fazlası var, ancak bu sorunun amacı için yeterli olmalı.

Sorun, bu rol gruplarını dağıtım üyeleri olarak eklemek istediğim zaman geliyor. "Marketing@domain.com" dağıtım listesine bir "Pazarlama Yöneticisi" rolü ekler ve rol güvenlik grubu evrensel olmadıkça rol üyelerine posta iletmez.

Evrensel gruplar küresel gruplara üye olamazlar. Dolayısıyla, rol gruplarını evrensel hale dönüştürmek istersem, onları postalayabilmem için, o zaman rolün kendisinin de üyesi olduğu grupları da değiştirmem gerekirdi. Bu, önerilen yapımı desteklemek için AD'deki tüm güvenlik gruplarının yakınında evrensel olana dönüştüreceğim anlamına geliyor.

Yaklaşık 1000 kullanıcılı tek bir alan ormanıyız ve bunun için tüm grupların 1000'den fazla olmasını bekledim. Alanın fonksiyonel seviyesi 2008R2

Dürüst olmak gerekirse, bunun aktif dizin ortamımız üzerindeki etkisini bilmiyorum. Dağıtım gruplarına rollerimi eklemek istersem, tüm grubu evrensel hale getirmek gerçekten bunu yapmanın tek yolu mudur? Posta için kullanılmasını istiyorsam cevap evet gibi görünüyor . Bu şekilde yardım masası kullanıcılarının kullanıcıların hangi gruplara ihtiyaç duydukları konusunda endişelenmelerine gerek kalmayacak şekilde olmasını istiyorum. Sadece "rollerini" bilmek zorundalar.

Bağlantılı soru, neden sadece basit güvenlik gruplarına sahip olamadığımı cevaplıyor, ancak önerilen yapımın, tüm gruplarımın yakınında evrensel olana dönüştüreceğim, herhangi bir olumsuz etkisi olup olmadığını veya kötü bir uygulama olarak kabul edilip edilmediğini bilmek istiyorum.


Oluşturduğunuz grup sayısını ekler (iki katına çıkarsa da), her rolün iki farklı grubu olduğunu düşünebilirsiniz: güvenlikle ilgili tüm ayarlar ve erişim için bir genel güvenlik grubu ve e-posta yönlendirme için bir evrensel dağıtım grubu.
Todd Wilcox

@ToddWilcox Evet. Bu işe yarayabilir. Yalnızca sahip olduğum rol miktarını veya en azından ilişkili posta gruplarına sahip olması gerekenleri iki katına çıkarmam gerekir. Tek bir rolün basitliğinin bir kısmı kaldırılacak olsa da, 100'lerin gruplarının değiştirilmesini önleyecektir. Düşünmek için bir şey.
Matt

Yanıtlar:


9

Yalnızca tek bir etki alanınız varsa ve tüm etki alanı denetleyicileriniz genel kataloglarsa, fazla bir etkisi yoktur. En iyi uygulama tüm etki alanı denetleyicilerinin GC olması gerektiğidir.

Birden fazla alana sahip büyük ormanlarda, hangi grupların evrensel olduğunu sınırlamak avantajlı olabilir. Bunun nedeni, evrensel grupların üye niteliğinin genel kataloğa çoğaltılmasıdır. Büyük bir ormanı, birden çok etki alanını, yüksek üye sayısına sahip çok sayıda evrensel grubu içeren bir senaryo düşünün, bu üyelerin tümü genel katalogda mevcut olacak ve her etki alanı denetleyicisine / etki alanına çoğaltılacaktır. Bu çoğaltma ve veritabanı boyutundaki artış, her etki alanında genel bir grup oluşturularak ve üyelerin genel gruplar olduğu tek bir evrensel gruba sahip olarak en aza indirilebilir.

Bu, geçmişte olduğundan daha az bir sorun. Windows Server 2003'ten önce, grup üyeliği her güncelleştirildiğinde tüm grup üyeleri çoğaltılır. Büyük evrensel grupların sürekli bir replikasyon durumunda olması olağandışı değildi. Artık yalnızca eklenen / kaldırılan üyeler çoğaltılmaktadır.

AD ortamınız ve gruplarınız çok eskiyse (Windows 2003'ten önce oluşturulmuşsa), yalnızca eklenen / kaldırılan üyeleri çoğaltmak için yeni Bağlantılı Değer Çoğaltma özelliğini henüz desteklemiyor olabilirler, ancak bu kaldırılarak / yeniden ekleyerek düzeltilebilir üyeler. Grup için repadmin / showobjmeta komutunu çalıştırarak bunu onaylayabilirsiniz. Bir grup üyesi "PRESENT" yerine "LEGACY" olarak görünüyorsa, evrensel bir gruba dönüştürülmeden önce düzeltilmelidir.


2

Gruplarınızı değiştirmek istemiyorsanız, dinamik dağıtım grubu oluşturmaktır.

Dinamik dağıtım grupları, bir Microsoft Exchange kuruluşunda e-posta iletilerinin ve diğer bilgilerin toplu gönderilmesini hızlandırmak için oluşturulan, posta etkin Active Directory grup nesneleridir.

Tanımlanmış bir üye kümesi içeren normal dağıtım gruplarının aksine, tanımladığınız filtrelere ve koşullara bağlı olarak, gruba her ileti gönderildiğinde dinamik dağıtım grupları için üyelik listesi hesaplanır. Dinamik bir dağıtım grubuna bir e-posta iletisi gönderildiğinde, kuruluştaki o grup için tanımlanan ölçütlerle eşleşen tüm alıcılara teslim edilir.

Bu şekilde, AD'de bir Kullanıcı X için Office için orada göstermek gibi bir öznitelik yazarsanız, geri kalanını Exchange yapın .. (görüntü oradan alınmıştır )

Özniteliği eklersiniz;

resim açıklamasını buraya girin

Grubu siz oluşturun;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

Bir kullanıcı başka bir iş / ofis için istifa ettiğinde özniteliğinizi güncel tuttuğunuz sürece, geri kalanı değiştirin.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.