Ý nghĩa của việc chuyển đổi tất cả các nhóm của tôi thành các nhóm phổ quát là gì?


10

Trong các nhóm phân phối Exchange 2010 phải là phổ quát. Điều này được hỗ trợ bởi tài liệu

Bạn chỉ có thể tạo hoặc kích hoạt thư cho các nhóm phân phối phổ quát.

Tôi đang cố gắng tạo cấu trúc nhóm bảo mật dựa trên vai trò để nếu ai đó rời khỏi hoặc thay đổi công việc, bạn chỉ phải thay đổi thành viên nhóm của "vai trò" người dùng (Trong đó vai trò chỉ là một nhóm bảo mật khác). Ở dạng đơn giản nhất, vai trò của nó sẽ có người dùng cho các thành viên và chính vai trò đó sẽ là thành viên của các nhóm bảo mật tập trung tài nguyên khác, ví dụ như nhóm đọc-ghi để chia sẻ. Có nhiều hơn cho mô hình hơn thế nhưng nó là đủ cho mục đích của câu hỏi này.

Vấn đề xuất phát từ khi tôi muốn thêm các nhóm vai trò này làm thành viên phân phối. Nếu tôi thử và thêm vai trò "Trình quản lý tiếp thị" vào danh sách phân phối "marketing@domain.com", nó sẽ không chuyển tiếp thư đến các thành viên vai trò trừ khi nhóm bảo mật vai trò là phổ quát.

Các nhóm phổ quát không thể là thành viên của các nhóm toàn cầu mặc dù. Vì vậy, nếu tôi muốn chuyển đổi các nhóm vai trò của mình thành phổ quát để tôi có thể gửi thư cho phép họ, thì tôi cũng phải thay đổi các nhóm mà chính vai trò đó cũng là một thành viên. Điều này có nghĩa là tôi sẽ chuyển đổi gần tất cả các nhóm bảo mật của mình sang AD để hỗ trợ cấu trúc đề xuất của mình.

Chúng tôi là một rừng miền duy nhất với khoảng 1000 người dùng và tôi mong đợi một khi tất cả các nhóm cho việc này được tạo ra có hơn 1000 người. Cấp chức năng của tên miền là 2008R2

Tôi thực sự không biết về tác động này có thể có trong môi trường thư mục hoạt động của chúng tôi. Là làm cho tất cả các nhóm phổ quát thực sự là cách duy nhất để làm điều này nếu tôi muốn thêm vai trò của mình vào các nhóm phân phối? Câu trả lời dường như là có nếu tôi muốn chúng được sử dụng cho thư . Tôi thực sự muốn điều này theo cách đó giúp người dùng bàn không phải lo lắng về những gì người dùng cần. Họ chỉ cần biết "vai trò" của mình.

Câu hỏi được liên kết trả lời tại sao tôi không thể chỉ có các nhóm bảo mật đơn giản nhưng tôi muốn biết liệu cấu trúc đề xuất của mình, có nghĩa là tôi sẽ chuyển đổi gần tất cả các nhóm của mình sang phổ quát, có bất kỳ hàm ý tiêu cực nào hoặc có thể bị coi là một thực tiễn xấu.


Mặc dù nó sẽ thêm (gấp đôi) số lượng nhóm bạn sẽ tạo, bạn có thể xem xét mỗi vai trò có hai nhóm khác nhau: một nhóm bảo mật toàn cầu cho tất cả các cài đặt và quyền truy cập liên quan đến bảo mật và một nhóm phân phối chung cho định tuyến email.
Todd Wilcox

@ToddWilcox Có. Điều đó có thể làm việc. Tôi sẽ chỉ cần tăng gấp đôi số lượng vai trò tôi có hoặc ít nhất là những vai trò cần có các nhóm thư liên quan. Mặc dù một số tính đơn giản của một vai trò sẽ bị xóa nhưng nó sẽ ngăn thay đổi 100 nhóm. Cái gì đó để suy ngẫm.
Matt

Câu trả lời:


9

Nếu bạn chỉ có một tên miền duy nhất và tất cả các bộ điều khiển miền của bạn là danh mục toàn cầu, sẽ không có nhiều tác động. Thực hành tốt nhất là tất cả các bộ điều khiển miền phải là của GC.

Trong các khu rừng lớn với nhiều miền, có thể thuận lợi để hạn chế những nhóm nào là phổ quát. Điều này là do thuộc tính thành viên của các nhóm phổ quát được sao chép vào danh mục toàn cầu. Hãy xem xét một kịch bản với một khu rừng rộng lớn, nhiều tên miền, một số lượng lớn các nhóm phổ quát với số lượng thành viên cao, tất cả các thành viên đó sẽ tồn tại trong danh mục toàn cầu và được sao chép sang mọi bộ điều khiển / miền. Sự sao chép này và tăng kích thước cơ sở dữ liệu có thể được giảm thiểu bằng cách tạo một nhóm toàn cầu trong mỗi miền và có một nhóm phổ quát duy nhất trong đó các thành viên là các nhóm toàn cầu.

Đây là một vấn đề ngày nay ít hơn so với trong quá khứ. Trước Windows Server 2003, tất cả các thành viên nhóm được sao chép bất cứ khi nào thành viên nhóm được cập nhật. Không có gì lạ khi các nhóm phổ quát lớn luôn ở trạng thái sao chép liên tục. Bây giờ chỉ có các thành viên được thêm / loại bỏ được nhân rộng.

Nếu môi trường và nhóm AD của bạn rất cũ (được tạo trước Windows 2003), có thể họ chưa hỗ trợ khả năng Sao chép giá trị được liên kết mới để chỉ sao chép các thành viên đã thêm / xóa, nhưng có thể khắc phục bằng cách xóa / thêm lại những thành viên. Bạn có thể xác nhận điều này bằng cách chạy repadmin / showobjmeta cho nhóm. Nếu một thành viên trong nhóm xuất hiện dưới dạng "PHÁP LÝ" thay vì "HIỆN TẠI", thì nó cần được sửa trước khi chuyển đổi thành một nhóm phổ quát.


2

Một cách khác để nghĩ rằng đó là tạo nhóm phân phối động nếu bạn không muốn thay đổi nhóm của mình.

Các nhóm phân phối động là các đối tượng nhóm Active Directory được kích hoạt bằng thư được tạo để đẩy nhanh việc gửi hàng loạt thư email và thông tin khác trong một tổ chức Microsoft Exchange.

Không giống như các nhóm phân phối thông thường có chứa một nhóm thành viên được xác định, danh sách thành viên cho các nhóm phân phối động được tính mỗi khi một tin nhắn được gửi đến nhóm, dựa trên các bộ lọc và điều kiện mà bạn xác định. Khi một thông điệp email được gửi đến một nhóm phân phối động, nó sẽ được gửi đến tất cả người nhận trong tổ chức phù hợp với tiêu chí được xác định cho nhóm đó.

Theo cách đó, nếu trong AD bạn nhập cho một người dùng X một thuộc tính, như, hiển thị ở đó cho Office, sau đó Exchange thực hiện phần còn lại .. (hình ảnh được lấy từ đó )

Bạn thêm thuộc tính;

nhập mô tả hình ảnh ở đây

Bạn tạo nhóm;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

Trao đổi làm phần còn lại, miễn là bạn giữ cho thuộc tính của bạn cập nhật khi người dùng thoát khỏi công việc / văn phòng khác.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.