Quali sono le implicazioni della conversione di tutti i miei gruppi in gruppi universali?

In Exchange 2010 i gruppi di distribuzione devono essere universali. Questo è supportato dalla documentazione

È possibile creare o abilitare alla posta solo i gruppi di distribuzione universali.

Sto provando a creare una struttura di gruppi di sicurezza basata sui ruoli in modo che se qualcuno lascia o cambia lavoro, devi solo cambiare l'appartenenza ai gruppi di un "ruolo" degli utenti (dove il ruolo è solo un altro gruppo di sicurezza). Nella sua forma più semplice, i ruoli avrebbero utenti per i membri e il ruolo stesso sarebbe un membro di altri gruppi di sicurezza incentrati sulle risorse, ad esempio un gruppo di lettura-scrittura per una condivisione. C'è di più nel modello di quello, ma dovrebbe essere sufficiente ai fini di questa domanda.

Il problema nasce da quando voglio aggiungere questi gruppi di ruoli come membri della distribuzione. Se provo ad aggiungere un ruolo di "Marketing Manager" all'elenco di distribuzione "marketing@domain.com", non inoltrerò la posta ai membri del ruolo a meno che il gruppo di sicurezza del ruolo non sia universale.

Tuttavia, i gruppi universali non possono essere membri di gruppi globali. Quindi, se volessi convertire i miei gruppi di ruoli in universali in modo da poterli abilitare alla posta, dovrei anche cambiare i gruppi di cui fa parte anche il ruolo stesso. Ciò significa che mi convertirò presso tutti i miei gruppi di sicurezza in AD in universale per supportare la mia struttura proposta.

Siamo una foresta a dominio singolo con circa 1000 utenti e mi aspetterei una volta che tutti i gruppi per questo avranno 1000+. Il livello funzionale del dominio è 2008R2

Onestamente non conosco l'impatto che questo potrebbe avere nel nostro ambiente di directory attive. Rendere universale tutto il gruppo è davvero l'unico modo per farlo se volessi aggiungere i miei ruoli ai gruppi di distribuzione? La risposta sembra essere sì se voglio che vengano utilizzati per la posta . Lo voglio in modo che gli utenti dell'help desk non debbano preoccuparsi dei gruppi di cui hanno bisogno gli utenti. Devono solo conoscere il loro "ruolo".

La domanda collegata risponde perché non posso avere solo semplici gruppi di sicurezza, ma voglio sapere se la mia struttura proposta, nel senso che convertirò quasi tutti i miei gruppi in universali, ha implicazioni negative o è forse considerata una cattiva pratica.

Se hai un solo dominio e tutti i tuoi controller di dominio sono cataloghi globali, non c'è molto impatto. La migliore pratica è che tutti i controller di dominio dovrebbero essere GC.

Nelle grandi foreste con più domini, può essere vantaggioso limitare quali gruppi sono universali. Ciò è dovuto all'attributo membro dei gruppi universali replicati nel catalogo globale. Si consideri uno scenario con una grande foresta, più domini, un gran numero di gruppi universali con un elevato numero di membri, tutti questi membri esisterebbero nel catalogo globale e verrebbero replicati su ogni controller / dominio di dominio. Questa replica e il conseguente aumento delle dimensioni del database potrebbero essere minimizzati creando un gruppo globale in ciascun dominio e avendo un singolo gruppo universale in cui i membri sono i gruppi globali.

Questo è meno un problema oggi che in passato. Prima di Windows Server 2003, tutti i membri del gruppo venivano replicati ogni volta che veniva aggiornata l'appartenenza al gruppo. Non era insolito che grandi gruppi universali fossero in costante stato di replicazione. Ora vengono replicati solo i membri aggiunti / rimossi.

Se l'ambiente e i gruppi AD sono molto vecchi (creati prima di Windows 2003), è possibile che non supportino ancora la nuova funzionalità di replica dei valori collegati per replicare solo i membri aggiunti / rimossi, ma che possono essere corretti rimuovendo / aggiungendo nuovamente i membri. Puoi confermarlo eseguendo repadmin / showobjmeta per il gruppo. Se un membro del gruppo appare come "LEGACY" anziché "PRESENT", deve essere corretto prima di convertirlo in un gruppo universale.

Un altro modo di pensare sarebbe quello di creare un gruppo di distribuzione dinamico se non vuoi cambiare i tuoi gruppi.

I gruppi di distribuzione dinamici sono oggetti di gruppo di Active Directory abilitati alla posta creati per accelerare l'invio di massa di messaggi di posta elettronica e altre informazioni all'interno di un'organizzazione di Microsoft Exchange.

A differenza dei gruppi di distribuzione regolari che contengono un set definito di membri, l'elenco di appartenenze per i gruppi di distribuzione dinamici viene calcolato ogni volta che un messaggio viene inviato al gruppo, in base ai filtri e alle condizioni definite. Quando un messaggio di posta elettronica viene inviato a un gruppo di distribuzione dinamico, viene consegnato a tutti i destinatari nell'organizzazione che corrispondono ai criteri definiti per quel gruppo.

In questo modo se in AD digiti per un Utente X un attributo, come, mostra lì per l'Ufficio, quindi Exchange fa il resto .. (immagine presa da lì )

Aggiungi l'attributo;

Si crea il gruppo;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

Exchange fa il resto, a condizione che tu mantenga aggiornato il tuo attributo quando un utente lascia un altro lavoro / ufficio.