모든 그룹을 유니버설 그룹으로 변환하면 어떤 의미가 있습니까?

10

Exchange 2010 메일 그룹은 범용이어야합니다. 이것은 문서에 의해 지원됩니다

유니버설 메일 그룹 만 만들거나 메일을 사용할 수 있습니다.

역할 기반 보안 그룹 구조를 만들어 누군가가 작업을 떠나거나 변경하는 경우 사용자의 역할을 "역할"(역할이 다른 보안 그룹 인 경우) 만 변경하면됩니다. 가장 간단한 형태의 역할은 구성원에 대한 사용자를 가지며 역할 자체는 다른 자원 중심 보안 그룹 (예 : 공유에 대한 읽기 / 쓰기 그룹)의 구성원이됩니다. 그보다 더 많은 모델이 있지만이 질문의 목적에는 충분해야합니다.

이 역할 그룹을 메일 구성원으로 추가하려고 할 때 문제가 발생합니다. "marketing@domain.com"메일 그룹에 "Marketing Manager"역할을 추가하려고 하면 역할 보안 그룹이 보편적 인 경우가 아니면 메일을 역할 구성원에게 전달하지 않습니다 .

유니버설 그룹은 글로벌 그룹의 구성원이 될 수 없습니다. 따라서 역할 그룹을 범용으로 변환하여 메일을 발송할 수있게하려면 역할 자체도 구성원 인 그룹을 변경해야합니다. 이것은 내가 제안한 구조를 지원하기 위해 AD의 모든 보안 그룹 근처를 범용으로 변환한다는 것을 의미합니다.

우리는 약 1000 명의 사용자가있는 단일 도메인 포리스트이며이 그룹에 대한 모든 그룹이 1000 이상이 될 것으로 기대합니다. 도메인의 기능 수준은 2008R2입니다.

솔직히 이것이 Active Directory 환경에 미치는 영향을 잘 모르겠습니다. 메일 그룹에 역할을 추가하려는 경우 모든 그룹을 유니버설로 만드는 것이 유일한 방법입니까? 메일에 사용하려면 대답이 '예'로 나타납니다 . 헬프 데스크 사용자가 사용자에게 필요한 그룹에 대해 걱정할 필요가 없도록 이것을 원합니다. 그들은 "역할"을 알아야합니다.

연결된 질문은 왜 단순한 보안 그룹을 가질 수 없는지에 대한 대답이지만, 제안 된 구조, 즉 모든 그룹 근처를 범용으로 변환하거나 부정적인 영향을 미치거나 나쁜 습관으로 간주 될 수 있는지 알고 싶습니다.

active-directory  exchange  exchange-2010  groups 
매트
소스
만들려는 그룹 수를 두 배로 늘리는 반면 각 역할에는 두 가지 다른 그룹, 즉 모든 보안 관련 설정 및 액세스를위한 글로벌 보안 그룹과 전자 메일 라우팅을위한 범용 메일 그룹이 있습니다.
Todd Wilcox
@ToddWilcox 예. 작동 할 수 있습니다. 내가 가진 역할의 수를 두 배로 늘리거나 관련 메일 그룹이 필요한 역할을 두 배로 늘리면됩니다. 단일 역할의 단순성 중 일부는 제거되지만 100의 그룹을 변경하지 못하게됩니다. 숙고 할 것.
Matt

답변:

9

단일 도메인 만 있고 모든 도메인 컨트롤러가 글로벌 카탈로그 인 경우 큰 영향을 미치지 않습니다. 가장 좋은 방법은 모든 도메인 컨트롤러가 GC 여야한다는 것입니다.

도메인이 여러 개인 대규모 포리스트에서는 보편적 인 그룹을 제한하는 것이 유리할 수 있습니다. 이는 유니버설 그룹의 구성원 속성이 글로벌 카탈로그에 복제되기 때문입니다. 대규모 포리스트, 다중 도메인, 구성원 수가 많은 범용 그룹이 많은 시나리오를 고려하십시오. 이러한 구성원은 모두 글로벌 카탈로그에 존재하며 모든 도메인 컨트롤러 / 도메인에 복제됩니다. 각 도메인에 글로벌 그룹을 만들고 구성원이 글로벌 그룹 인 단일 유니버설 그룹을 가짐으로써 이러한 복제 및 데이터베이스 크기 증가를 최소화 할 수 있습니다.

이것은 과거보다 오늘날의 문제가 아닙니다. Windows Server 2003 이전에는 그룹 구성원 자격이 업데이트 될 때마다 모든 그룹 구성원이 복제되었습니다. 큰 유니버설 그룹이 일정한 복제 상태에있는 것은 드문 일이 아닙니다. 이제 추가 / 제거 된 멤버 만 복제됩니다.

AD 환경과 그룹이 매우 오래된 경우 (Windows 2003 이전에 생성 된 경우) 추가 / 제거 된 멤버 만 복제하기 위해 새로운 링크 된 값 복제 기능을 아직 지원하지 않을 수 있지만 제거 / 다시 추가하여 수정할 수 있습니다 회원. 그룹에 대해 repadmin / showobjmeta를 실행하여이를 확인할 수 있습니다. 그룹 구성원이 "PRESENT"대신 "LEGACY"로 표시되면 유니버설 그룹으로 변환하기 전에 수정해야합니다.

그렉 비 스케
소스
2

그룹을 변경하지 않으려는 경우 동적 메일 그룹을 만드는 것이 또 다른 방법입니다.

동적 메일 그룹은 메일 사용이 가능한 Active Directory 그룹 개체로, Microsoft Exchange 조직 내에서 전자 메일 메시지 및 기타 정보를 신속하게 대량 전송하는 데 사용됩니다.

정의 된 구성원 집합이 포함 된 일반 메일 그룹과 달리 동적 메일 그룹의 구성원 목록은 사용자가 정의한 필터 및 조건에 따라 메시지가 그룹으로 전송 될 때마다 계산됩니다. 전자 메일 메시지를 동적 메일 그룹으로 보내면 해당 그룹에 대해 정의 된 기준과 일치하는 조직의 모든받는 사람에게 배달됩니다.

AD에 당신이 사용자 X에 대한 속성을 입력하면 그 방법, 같은 사무실 거기 보여, 다음 Exchange가 나머지를 할 .. (이미지에서했다 )

속성을 추가합니다.

여기에 이미지 설명을 입력하십시오

그룹을 만듭니다.

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

사용자가 다른 작업 / 사무실을 그만 둘 때 속성을 최신 상태로 유지하는 한 Exchange는 나머지 작업을 수행합니다.

yagmoth555
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.