web-dev-qa-db-ja.com

すべてのグループをユニバーサルグループに変換するとどうなりますか?

Exchange 2010では、配布グループはユニバーサルである必要があります。これは ドキュメントでサポートされています

ユニバーサル配布グループのみを作成するか、メールを有効にすることができます。

私は、役割ベースのセキュリティグループ構造を作成しようとしています。そのため、誰かが仕事を辞めたり変更したりする場合、ユーザーの「役割」のグループメンバーシップを変更するだけで済みます(役割は別のセキュリティグループです)。最も単純な形式では、ロールはメンバーのユーザーを持ち、ロール自体は他のリソース中心のセキュリティグループのメンバーになります。共有の読み取り/書き込みグループ。モデルにはそれだけではありませんが、この質問の目的には十分です。

問題は、これらの役割グループを配布メンバーとして追加するときに発生します。 「Marketing Manager」ロールを「[email protected]」配布リストに追加しようとすると、ロールメンバーにメールが転送されませんunlessセキュリティグループの役割は普遍的です。

ただし、ユニバーサルグループをグローバルグループのメンバーにすることはできません。そのため、メールを有効にできるように役割グループをユニバーサルに変換したい場合は、役割自体もメンバーになっているグループも変更する必要があります。これは、提案された構造をサポートするために、ADのほぼすべてのセキュリティグループをユニバーサルに変換することを意味します。

私たちは約1000ユーザーの単一ドメインフォレストであり、このためのすべてのグループが1000以上になるようになったら期待します。ドメインの機能レベルは2008R2です

正直なところ、これがActive Directory環境に与える影響については知りません。自分の役割を配布グループに追加したい場合、本当にこれを行う唯一の方法は、すべてのグループをユニバーサルにすることですか? メールに使用したい場合、答えは「はい」のようです 。ヘルプデスクのユーザーがユーザーが必要とするグループについて心配する必要がないように、これが必要です。彼らは彼らの「役割」を知る必要があるだけです。

リンクされた質問は、単純なセキュリティグループだけでは不十分な理由を答えていますが、提案された構造、つまりすべてのグループの近くをユニバーサルに変換するか、否定的な影響があるか、または悪い習慣と見なされるかどうかを知りたいです。

active-directoryexchangeexchange-2010groups
10
Matt

ドメインが1つしかなく、すべてのドメインコントローラーがグローバルカタログである場合、大きな影響はありません。ベストプラクティスは、すべてのドメインコントローラをGCにすることです。

複数のドメインを持つ大規模なフォレストでは、ユニバーサルなグループを制限することが有利な場合があります。これは、ユニバーサルグループのメンバー属性がグローバルカタログに複製されるためです。大規模なフォレスト、複数のドメイン、メンバー数の多いユニバーサルグループが多数あるシナリオを考えます。これらのメンバーはすべてグローバルカタログに存在し、すべてのドメインコントローラー/ドメインに複製されます。この複製と、それに伴うデータベースサイズの増加は、各ドメインにグローバルグループを作成し、メンバーがグローバルグループである単一のユニバーサルグループを持つことで最小限に抑えることができます。

これは、以前よりも今日の問題ではありません。 Windows Server 2003より前は、グループメンバーシップが更新されるたびに、すべてのグループメンバーが複製されていました。大規模なユニバーサルグループが常にレプリケーション状態にあるのは珍しいことではありません。これで、追加/削除されたメンバーのみが複製されます。

AD環境とグループが非常に古い(Windows 2003より前に作成された)場合、追加/削除されたメンバーのみを複製する新しいLinked Value Replication機能をまだサポートしていない可能性がありますが、削除/再追加によって修正できますメンバー。これを確認するには、グループに対してrepadmin/showobjmetaを実行します。グループメンバーが「PRESENT」ではなく「LEGACY」と表示される場合は、ユニバーサルグループに変換する前に修正する必要があります。

9
Greg Askew

グループを変更したくない場合は、動的配布グループを作成することも考えられます。

動的配布グループは、メールが有効なActive Directoryグループオブジェクトであり、Microsoft Exchange組織内での電子メールメッセージやその他の情報の大量送信を促進するために作成されます。

定義済みのメンバーのセットを含む通常の配布グループとは異なり、動的配布グループのメンバーシップリストは、定義したフィルターと条件に基づいて、メッセージがグループに送信されるたびに計算されます。電子メールメッセージが動的配布グループに送信されると、そのグループに定義された基準に一致する組織内のすべての受信者に配信されます。

このようにして、ADでユーザーXの属性を入力すると、Officeの属性が表示され、Exchangeが残りの処理を実行します(画像は there から取得)

属性を追加します。

enter image description here

グループを作成します。

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

ユーザーが別の仕事/オフィスを辞めたときに属性を最新に保つ限り、Exchangeは残りの作業を行います。

2
yagmoth555