将我所有的小组转变为通用小组有什么意义？

在Exchange 2010中，通讯组必须是通用的。这由文档支持

您只能创建或启用通用通讯组的邮件。

我试图创建一个基于角色的安全组结构，这样，如果有人离开或更改工作，您只需更改用户的“角色”（其中角色只是另一个安全组）即可。在最简单的形式中，角色将拥有用户作为成员，而角色本身将成为其他以资源为中心的安全组（例如，共享的读写组）的成员。该模型的功能不只此而已，但就此问题而言，应该足够了。

问题出在我想将这些角色组添加为分发成员时。如果我尝试在“ marketing@domain.com”通讯组列表中添加“ Marketing Manager”角色，除非角色安全组是通用的，否则它将不会将邮件转发给角色成员。

但是，通用组不能成为全局组的成员。因此，如果我想将角色组转换为通用角色组，以便我可以通过邮件启用它们，那么我还必须更改角色本身也是成员的组。这意味着我将在AD中将几乎所有安全组都转换为通用安全组，以支持我建议的结构。

我们是一个拥有约1000个用户的单一域林，我希望一旦所有与此相关的组都拥有1000+。域的功能级别为2008R2

老实说，我不知道这可能会对我们的活动目录环境产生影响。如果我想将自己的角色添加到通讯组中，是否使所有组通用才是实现此目的的唯一方法？如果我希望将它们用于邮件，答案似乎是肯定的。我确实希望这样做，这样帮助台用户不必担心用户需要哪些组。他们只需要知道他们的“角色”即可。

链接的问题回答了为什么我不能只拥有简单的安全组，但是我想知道我提议的结构（这意味着我将几乎所有组转换为通用安全组）是否有负面影响或被认为是不好的做法。

如果您只有一个域，并且所有域控制器都是全局编录，则影响不大。最佳实践是所有域控制器都应为GC。

在具有多个域的大型森林中，限制哪些组是通用的可能是有利的。这是由于通用组的成员属性被复制到全局目录。考虑一个具有大森林，多个域，大量具有高成员数的通用组的方案，所有这些成员都将存在于全局目录中并复制到每个域控制器/域。通过在每个域中创建一个全局组，并在成员是全局组的情况下具有一个通用组，可以最大程度地减少这种复制以及由此导致的数据库大小增加。

今天，这已不再是过去的问题了。在Windows Server 2003之前，每次更新组成员身份时，所有组成员都将被复制。大型通用组处于恒定的复制状态并不罕见。现在，仅复制添加/删除的成员。

如果您的AD环境和组非常旧（在Windows 2003之前创建的），则它们可能尚未支持新的链接值复制功能来仅复制添加/删除的成员，但是可以通过删除/重新添加来解决此问题。成员。您可以通过为该组运行repadmin / showobjmeta来确认。如果组成员显示为“ LEGACY”而不是“ PRESENT”，则应先将其修复，然后再转换为通用组。

另一种认为这是创建动态通讯组的方法，如果您不想更改组。

动态通讯组是启用邮件的Active Directory组对象，其创建目的是为了加快Microsoft Exchange组织中电子邮件和其他信息的大量发送。

与包含一组定义的成员的常规通讯组不同，动态通讯组的成员资格列表是在每次将邮件发送到组时，根据您定义的筛选器和条件来计算的。当电子邮件发送到动态通讯组时，它会传递给组织中与为该组定义的条件相匹配的所有收件人。

这样，如果在AD中为用户X键入一个属性，例如在Office中显示该属性，然后由Exchange执行其余操作。（图像从那里获取）

您添加属性；

您创建组；

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

只要您保持属性在用户退出另一个工作/办公室时保持最新状态，Exchange就会做剩下的事情。