¿Cuáles son las implicaciones de convertir todos mis grupos en grupos universales?

En Exchange 2010, los grupos de distribución deben ser universales. Esto está respaldado por documentación

Puede crear o habilitar para correo solo grupos de distribución universales.

Estoy tratando de crear una estructura de grupo de seguridad basada en roles para que si alguien abandona o cambia de trabajo, solo tiene que cambiar la pertenencia a grupos de un "rol" de usuarios (donde el rol es solo otro grupo de seguridad). En su forma más simple, los roles tendrían usuarios para los miembros y el rol en sí sería un miembro de otros grupos de seguridad centrados en los recursos, por ejemplo, un grupo de lectura y escritura para un recurso compartido. Hay más en el modelo que eso, pero debería ser suficiente para el propósito de esta pregunta.

El problema proviene de cuando quiero agregar estos grupos de roles como miembros de distribución. Si intento agregar un rol de "Gerente de marketing" a la lista de distribución "marketing@dominio.com", no reenviará el correo a los miembros del rol a menos que el grupo de seguridad del rol sea universal.

Sin embargo, los grupos universales no pueden ser miembros de grupos globales. Entonces, si quisiera convertir mis grupos de roles a universales para poder habilitarlos por correo, también tendría que cambiar los grupos de los que el rol en sí también es miembro. Esto significa que convertiría cerca de todos mis grupos de seguridad en AD a universal para apoyar mi estructura propuesta.

Somos un bosque de dominio único con aproximadamente 1000 usuarios y esperaría que una vez que todos los grupos para esto tengan más de 1000. El nivel funcional del dominio es 2008R2

Sinceramente, no sé el impacto que esto podría tener en nuestro entorno de directorio activo. ¿Hacer que todo el grupo sea universal realmente es la única forma de hacerlo si quisiera agregar mis roles a los grupos de distribución? La respuesta parece ser sí si quiero que se usen para el correo . Quiero esto para que los usuarios de la mesa de ayuda no tengan que preocuparse por los grupos que necesitan los usuarios. Solo necesitan saber su "papel".

La pregunta vinculada responde por qué no puedo simplemente tener grupos de seguridad simples, sino que quiero saber si mi estructura propuesta, lo que significa que convertiré cerca de todos mis grupos a universal, tiene alguna implicación negativa o tal vez se considere una mala práctica.

Si solo tiene un dominio único y todos sus controladores de dominio son catálogos globales, no hay mucho impacto. La mejor práctica es que todos los controladores de dominio deben ser GC.

En bosques grandes con múltiples dominios, puede ser ventajoso limitar qué grupos son universales. Esto se debe a que el atributo miembro de los grupos universales se replica en el catálogo global. Considere un escenario con un gran bosque, múltiples dominios, una gran cantidad de grupos universales con un alto número de miembros, todos esos miembros existirían en el catálogo global y se replicarían en cada controlador / dominio de dominio. Esta replicación y el aumento resultante en el tamaño de la base de datos podrían minimizarse creando un grupo global en cada dominio y teniendo un solo grupo universal donde los miembros son los grupos globales.

Esto es un problema menor hoy que en el pasado. Antes de Windows Server 2003, todos los miembros del grupo se replicaban cada vez que se actualizaba la pertenencia al grupo. No era inusual que los grandes grupos universales estuvieran en un estado constante de replicación. Ahora solo se replican los miembros agregados / eliminados.

Si su entorno y grupos de AD son muy antiguos (creados antes de Windows 2003), es posible que aún no admitan la nueva capacidad de replicación de valor vinculado para replicar solo los miembros agregados / eliminados, pero eso se puede solucionar al eliminar / volver a agregar los miembros. Puede confirmar esto ejecutando repadmin / showobjmeta para el grupo. Si un miembro del grupo aparece como "LEGADO" en lugar de "PRESENTE", debe repararse antes de convertirse en un grupo universal.

Otra forma de pensar sería crear un grupo de distribución dinámico si no desea cambiar sus grupos.

Los grupos de distribución dinámica son objetos de grupo de Active Directory habilitados para correo que se crean para acelerar el envío masivo de mensajes de correo electrónico y otra información dentro de una organización de Microsoft Exchange.

A diferencia de los grupos de distribución regulares que contienen un conjunto definido de miembros, la lista de miembros para los grupos de distribución dinámica se calcula cada vez que se envía un mensaje al grupo, en función de los filtros y las condiciones que defina. Cuando se envía un mensaje de correo electrónico a un grupo de distribución dinámico, se entrega a todos los destinatarios de la organización que coinciden con los criterios definidos para ese grupo.

De esa manera, si en AD escribe para un Usuario X, un atributo, como, mostrar allí para la Oficina, luego Exchange hace el resto ... (imagen tomada desde allí )

Agrega el atributo;

Tú creas el grupo;

New-DynamicDistributionGroup -Name "Users in Example Office Name" -OrganizationalUnit "domain.net\users" -RecipientFilter { ((RecipientType -eq 'UserMailbox') –and (Office -eq 'Users in example office name')) }

Exchange hace el resto, siempre y cuando mantenga su atributo actualizado cuando un usuario renuncia a otro trabajo / oficina.