phatair 39 Geschrieben Donnerstag um 07:50 Melden Teilen Geschrieben Donnerstag um 07:50 Hallo zusammen, wenn ich es richtig sehe, kann ich eine lokale AD Sicherheitsgruppe nicht "mail enablen" und damit auch als Mail Verteiler nutzen. Dazu muss die AD Gruppe eine universale Sicherheitsgruppe sein. Die betroffenen Sicherheitsgruppen nutzen wir nur zum zuweisen von Software über unser Client Management System oder sie werden genutzt um innerhalb eine Anwendung z.B. Usern bestimmten Rollen zuzuordnen. Wenn ich es hier richtig verstehe, ist der Hauptunterschied zwischen local, global und universal vor allem die Nutzung von Gruppen in mehreren Domains und Forests. Wir haben aktuell keinen Domain Forest, nur eine einzige Domäne. Kann ich dann problemlos eine lokale Gruppe auf universal umstellen um die "Mail Funktion" nutzen zu können? Oder gibt es andere Möglichkeiten? Hintergrund ist, dass wir gerne die Sicherheitsgruppe auch gleich als Mail Verteiler nutzen wollen, damit man die User z.B. bei Wartungen usw kontaktieren kann. Aktuell wird hier eine separate Exchange Verteilergruppe gepflegt und das ist aufwändig und fehleranfällig. Danke schon mal. Viele Grüße Zitieren Link zu diesem Kommentar
cj_berlin 1.358 Geschrieben Donnerstag um 08:05 Melden Teilen Geschrieben Donnerstag um 08:05 Moin, was Du vorhast ist technisch möglich. Wenn der Forest nur eine Domäne hat und keine Vertrauensstellungen zu anderen Forests, ist der Gruppen-Scope weniger wichtig. Es gibt Feinheiten wie Token Size, aber generell kannst Du die Gruppen konvertieren, und es dürften dem keine Gruppenverschachtelungen im Wege stehen, denn auch mögliche Mitglieder sind identisch. Ich bin aus Erfahrung kein Freund von Mail-Enabled Security Groups, und wenn Hybrid oder Migration zu Exchange Online am Horizont ist, würde ich dringend davon abraten. Zumindest in der Koexistenzphase, wenn ein Teil der Postfächer on-prem und ein anderer Teil online ist, wird das unschön. Falls ihr diese Gruppen automatisiert, z.B. aus einem IAM-System bestückt, würde ich prüfen, ob's nicht möglich wäre, einfach ZWEI Gruppen pro Entitlement zu pflegen - eine Security-Gruppe für die Zuweisung und eine Verteilergruppe für den Mailversand. Was auch immer Du tust, stell sicher, dass die Gruppen im Sinne des Bei- und Austritts "geschlossen" sind, so dass die Mitgliedschaften nur administrativ gepflegt werden können und nicht durch die Benutzer selbst über Outlook. 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben Freitag um 14:08 Autor Melden Teilen Geschrieben Freitag um 14:08 Danke Evgenij, wir betreiben einen Exchange Hybrid, allerdings synchronisieren wir nur einige User Objekte in den Tenant, da wir diese nur für Teams benötigen (keine Mailboxen, Gruppen, usw). Geplant ist das auch nicht noch mehr in Richtung M365 zu gehen. Aber so richtig gut finde ich die mail enabled security groups dann auch nicht und verstehe die möglichen Probleme und irgendwie fühlt es sich nicht gut an, beides so zu mischen. Da wir aktuell sowieso ein IAM System testen wollen, wäre das natürlich die schönste Lösung. Das werde ich mal mit auf unsere "Test Liste" setzen. Wenn das klappt wäre das meine bevorzugte Lösung. Danke auch für den Hinweis mit den Gruppen bezüglich "geschlossen" und "offen". Alle Gruppen sind bei uns geschlossen und die Mitgliedschaften werden über die IT geregelt. Ein schönes Wochenende! Gruß, Steffen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.