Dans Exchange 2010, les groupes de distribution doivent être universels. Ceci est soutenu par la documentation
Vous ne pouvez créer ou activer la messagerie que des groupes de distribution universels.
J'essaie de créer une structure de groupe de sécurité basée sur les rôles de sorte que si quelqu'un quitte ou change de travail, vous n'avez qu'à changer l'appartenance aux groupes d'un "rôle" d'utilisateurs (où le rôle est juste un autre groupe de sécurité). Dans sa forme la plus simple, les rôles auraient des utilisateurs pour les membres et le rôle lui-même serait membre d'autres groupes de sécurité centrés sur les ressources, par exemple un groupe de lecture-écriture pour un partage. Le modèle ne se limite pas à cela, mais il devrait suffire aux fins de cette question.
Le problème vient du moment où je veux ajouter ces groupes de rôles en tant que membres de distribution. Si j'essaie d'ajouter un rôle "Marketing Manager" à la liste de distribution "marketing@domain.com", il ne transmettra pas de courrier aux membres du rôle à moins que le groupe de sécurité du rôle ne soit universel.
Cependant, les groupes universels ne peuvent pas être membres de groupes mondiaux. Donc, si je voulais convertir mes groupes de rôles en universels afin de pouvoir les activer par courrier, je devrais également changer les groupes dont le rôle lui-même est également membre. Cela signifie que je convertirais presque tous mes groupes de sécurité dans AD en universel pour prendre en charge ma structure proposée.
Nous sommes une forêt à domaine unique avec environ 1000 utilisateurs et je m'attendrais à ce que tous les groupes pour cela soient constitués de 1000+. Le niveau fonctionnel du domaine est 2008R2
Honnêtement, je ne connais pas l'impact que cela pourrait avoir dans notre environnement de répertoire actif. Est-ce que rendre tout le groupe universel est vraiment le seul moyen de le faire si je voulais ajouter mes rôles aux groupes de distribution? La réponse semble être oui si je veux qu'ils soient utilisés pour le courrier . Je le veux pour que les utilisateurs du service d'assistance n'aient pas à se soucier des groupes dont les utilisateurs ont besoin. Ils ont juste besoin de connaître leur "rôle".
La question liée explique pourquoi je ne peux pas simplement avoir de simples groupes de sécurité mais je veux savoir si ma structure proposée, ce qui signifie que je vais convertir presque tous mes groupes en universels, a des implications négatives ou est peut-être considérée comme une mauvaise pratique.