Quais são as implicações da conversão de todos os meus grupos em grupos universais?

No Exchange 2010, os grupos de distribuição devem ser universais. Isso é suportado pela documentação

Você pode criar ou ativar apenas grupos de distribuição universal por email.

Estou tentando criar uma estrutura de grupo de segurança baseada em funções para que, se alguém sair ou alterar trabalhos, você só precisará alterar a associação de grupos de uma "função" de usuário (onde a função é apenas outro grupo de segurança). Na sua forma mais simples, as funções teriam usuários para membros e a função seria membro de outros grupos de segurança centrados em recursos, por exemplo, um grupo de leitura e gravação para um compartilhamento. Há mais no modelo do que isso, mas deve ser suficiente para o objetivo desta pergunta.

O problema surge quando eu quero adicionar esses grupos de funções como membros da distribuição. Se eu tentar adicionar uma função "Marketing Manager" à lista de distribuição "marketing@domain.com", ela não encaminhará os emails para os membros da função, a menos que o grupo de segurança da função seja universal.

Grupos universais não podem ser membros de grupos globais. Portanto, se eu quisesse converter meus grupos de funções em universal, para poder habilitá-los por e-mail, também precisaria alterar os grupos nos quais a função também é membro. Isso significa que eu estaria convertendo perto de todos os meus grupos de segurança no AD para universal para suportar minha estrutura proposta.

Somos uma floresta de domínio único com cerca de 1000 usuários e eu esperaria que todos os grupos para isso tenham mais de 1000. O nível funcional do domínio é 2008R2

Sinceramente, não sei o impacto que isso pode ter em nosso ambiente de diretório ativo. Tornar todo o grupo universal é realmente a única maneira de fazer isso se eu quiser adicionar minhas funções aos grupos de distribuição? A resposta parece ser sim se eu quiser que eles sejam usados ​​para correspondência . Eu quero isso para que os usuários do suporte técnico não precisem se preocupar com o que os usuários precisam de grupos. Eles só precisam conhecer seu "papel".

A pergunta vinculada responde por que não posso apenas ter grupos de segurança simples, mas quero saber se minha estrutura proposta, o que significa que estarei convertendo perto de todos os meus grupos em universal, tem implicações negativas ou talvez seja considerada uma má prática.

Se você tiver apenas um único domínio e todos os seus controladores de domínio forem catálogos globais, não haverá muito impacto. A melhor prática é que todos os controladores de domínio devem ser GCs.

Em grandes florestas com vários domínios, pode ser vantajoso limitar o que grupos são universais. Isso ocorre porque o atributo de membro de grupos universais é replicado no catálogo global. Considere um cenário com uma floresta grande, vários domínios, um grande número de grupos universais com uma contagem alta de membros; todos esses membros existiriam no catálogo global e seriam replicados para todos os controladores / domínios de domínio. Essa replicação e o aumento resultante no tamanho do banco de dados podem ser minimizados com a criação de um grupo global em cada domínio e com um único grupo universal em que os membros são os grupos globais.

Isso é menos problemático hoje do que no passado. Antes do Windows Server 2003, todos os membros do grupo eram replicados sempre que a associação do grupo era atualizada. Não era incomum que grandes grupos universais estivessem em constante estado de replicação. Agora, apenas os membros adicionados / removidos são replicados.

Se o ambiente e os grupos do AD forem muito antigos (criados antes do Windows 2003), é possível que eles ainda não suportem o novo recurso de replicação de valor vinculado para replicar apenas os membros adicionados / removidos, mas isso pode ser corrigido removendo / adicionando novamente os membros. Você pode confirmar isso executando repadmin / showobjmeta para o grupo. Se um membro do grupo aparecer como "LEGADO" em vez de "PRESENTE", ele deverá ser corrigido antes da conversão para um grupo universal.

Outra maneira de pensar que seria criar um grupo dinâmico de distribuição, se você não quiser alterar seus grupos.

Grupos de distribuição dinâmica são objetos de grupo do Active Directory habilitados para email, criados para agilizar o envio em massa de mensagens de email e outras informações em uma organização do Microsoft Exchange.

Diferentemente dos grupos de distribuição regulares que contêm um conjunto definido de membros, a lista de associação para grupos dinâmicos de distribuição é calculada toda vez que uma mensagem é enviada ao grupo, com base nos filtros e condições que você define. Quando uma mensagem de email é enviada para um grupo dinâmico de distribuição, é entregue a todos os destinatários da organização que correspondem aos critérios definidos para esse grupo.

Dessa forma, se no AD você digitar para um Usuário X um atributo, como, mostrar lá para o Office, o Exchange fará o resto .. (imagem tirada a partir daí )

Você adiciona o atributo;

Você cria o grupo;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

O Exchange faz o resto, desde que você mantenha seu atributo atualizado quando um usuário sair para outro trabalho / escritório.