Quelles sont les implications de la conversion de tous mes groupes en groupes universels?

Dans Exchange 2010, les groupes de distribution doivent être universels. Ceci est soutenu par la documentation

Vous ne pouvez créer ou activer la messagerie que des groupes de distribution universels.

J'essaie de créer une structure de groupe de sécurité basée sur les rôles de sorte que si quelqu'un quitte ou change de travail, vous n'avez qu'à changer l'appartenance aux groupes d'un "rôle" d'utilisateurs (où le rôle est juste un autre groupe de sécurité). Dans sa forme la plus simple, les rôles auraient des utilisateurs pour les membres et le rôle lui-même serait membre d'autres groupes de sécurité centrés sur les ressources, par exemple un groupe de lecture-écriture pour un partage. Le modèle ne se limite pas à cela, mais il devrait suffire aux fins de cette question.

Le problème vient du moment où je veux ajouter ces groupes de rôles en tant que membres de distribution. Si j'essaie d'ajouter un rôle "Marketing Manager" à la liste de distribution "marketing@domain.com", il ne transmettra pas de courrier aux membres du rôle à moins que le groupe de sécurité du rôle ne soit universel.

Cependant, les groupes universels ne peuvent pas être membres de groupes mondiaux. Donc, si je voulais convertir mes groupes de rôles en universels afin de pouvoir les activer par courrier, je devrais également changer les groupes dont le rôle lui-même est également membre. Cela signifie que je convertirais presque tous mes groupes de sécurité dans AD en universel pour prendre en charge ma structure proposée.

Nous sommes une forêt à domaine unique avec environ 1000 utilisateurs et je m'attendrais à ce que tous les groupes pour cela soient constitués de 1000+. Le niveau fonctionnel du domaine est 2008R2

Honnêtement, je ne connais pas l'impact que cela pourrait avoir dans notre environnement de répertoire actif. Est-ce que rendre tout le groupe universel est vraiment le seul moyen de le faire si je voulais ajouter mes rôles aux groupes de distribution? La réponse semble être oui si je veux qu'ils soient utilisés pour le courrier . Je le veux pour que les utilisateurs du service d'assistance n'aient pas à se soucier des groupes dont les utilisateurs ont besoin. Ils ont juste besoin de connaître leur "rôle".

La question liée explique pourquoi je ne peux pas simplement avoir de simples groupes de sécurité mais je veux savoir si ma structure proposée, ce qui signifie que je vais convertir presque tous mes groupes en universels, a des implications négatives ou est peut-être considérée comme une mauvaise pratique.

Si vous n'avez qu'un seul domaine et que tous vos contrôleurs de domaine sont des catalogues globaux, il n'y a pas beaucoup d'impact. La meilleure pratique est que tous les contrôleurs de domaine doivent être des GC.

Dans les grandes forêts à plusieurs domaines, il peut être avantageux de limiter les groupes universels. Cela est dû au fait que l'attribut membre des groupes universels est répliqué dans le catalogue global. Considérez un scénario avec une grande forêt, plusieurs domaines, un grand nombre de groupes universels avec un nombre élevé de membres, tous ces membres existeraient dans le catalogue global et seraient répliqués sur chaque contrôleur de domaine / domaine. Cette réplication et l'augmentation résultante de la taille de la base de données pourraient être minimisées en créant un groupe global dans chaque domaine et en ayant un seul groupe universel où les membres sont les groupes globaux.

C'est moins un problème aujourd'hui que par le passé. Avant Windows Server 2003, tous les membres du groupe étaient répliqués chaque fois que l'appartenance au groupe était mise à jour. Il n'était pas rare que de grands groupes universels soient dans un état constant de réplication. Désormais, seuls les membres ajoutés / supprimés sont répliqués.

Si votre environnement AD et vos groupes sont très anciens (créés avant Windows 2003), il est possible qu'ils ne prennent pas encore en charge la nouvelle capacité de réplication de valeur liée pour répliquer uniquement les membres ajoutés / supprimés, mais cela peut être corrigé en supprimant / ré-ajoutant les membres. Vous pouvez le confirmer en exécutant repadmin / showobjmeta pour le groupe. Si un membre du groupe apparaît comme "LEGACY" au lieu de "PRESENT", il doit être corrigé avant de se convertir en groupe universel.

Une autre façon de penser serait de créer un groupe de distribution dynamique si vous ne voulez pas changer vos groupes.

Les groupes de distribution dynamiques sont des objets de groupe Active Directory à extension messagerie créés pour accélérer l'envoi en masse de messages électroniques et d'autres informations au sein d'une organisation Microsoft Exchange.

Contrairement aux groupes de distribution classiques qui contiennent un ensemble défini de membres, la liste des membres des groupes de distribution dynamiques est calculée chaque fois qu'un message est envoyé au groupe, en fonction des filtres et des conditions que vous définissez. Lorsqu'un e-mail est envoyé à un groupe de distribution dynamique, il est remis à tous les destinataires de l'organisation qui correspondent aux critères définis pour ce groupe.

De cette façon, si dans AD, vous tapez pour un utilisateur X un attribut, comme celui-ci, affichez-le pour le bureau, puis Exchange faites le reste. (Image prise à partir de là )

Vous ajoutez l'attribut;

Vous créez le groupe;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

Exchange fait le reste, tant que vous gardez votre attribut à jour lorsqu'un utilisateur quitte pour un autre emploi / bureau.