Active Directory のセキュリティ グループと配布グループの基本的な目的はわかっています。セキュリティ グループはネットワーク リソースにアクセスするために使用され、配布グループはメールで配布リストを送信するために使用されます。しかし、セキュリティ グループは、メールが有効なセキュリティ グループを使用してそのグループにメールを配布するためにも使用できるのではないかという疑問があります。セキュリティ グループがセキュリティとメールの配布の両方に使用される場合、Active Directory で配布グループを使用する必要性は何でしょうか。
答え1
セキュリティ グループはユーザー (またはコンピューター) の Kerberos トークンに含まれるため、グループ メンバーシップに基づいて権限を割り当てることができます。
ただし、Kerberosトークンには最大サイズ制限があり、ユーザーが複数のグループに属している場合、奇妙なことが起こる
[...] 認証時に、ユーザーに HTTP 400 - 不正な要求 (要求ヘッダーが長すぎます) などのメッセージが表示される場合があります。また、ユーザーがリソースにアクセスする際に問題が発生し、ユーザーのグループ ポリシー設定が正しく更新されない可能性があります。
ログオンは完全に失敗する
[...]次のエラーのため、システムにログオンできません: ログオンの試行中に、ユーザーのセキュリティ コンテキストに蓄積されたセキュリティ ID が多すぎます。もう一度試すか、システム管理者に問い合わせてください。
この状況は一般的に「トークン膨張」と呼ばれます。
配布グループは Kerberos トークンに追加されません (配布グループに基づいてアクセス許可を付与/拒否できないのはそのためです)。これにより、ユーザーのトークンのサイズが大きくなるのを回避できます。
つまり、ユーザーあたりのグループの最大数に到達したくないので、セキュリティ グループは控えめに使用してください。