Ich kenne den grundlegenden Zweck von Sicherheitsgruppen und Verteilergruppen in Active Directory. Die Sicherheitsgruppe wird verwendet, um auf die Netzwerkressource zuzugreifen, und die Verteilergruppe wird verwendet, um Verteilerlisten per E-Mail zu senden. Ich bezweifle jedoch, dass die Sicherheitsgruppe auch verwendet werden kann, um E-Mails mithilfe einer E-Mail-fähigen Sicherheitsgruppe an diese Gruppe zu verteilen. Wenn die Sicherheitsgruppe sowohl für die Sicherheit als auch für die Verteilung von E-Mails verwendet werden muss, warum ist es dann notwendig, die Verteilergruppe in Active Directory zu verwenden?
Antwort1
Eine Sicherheitsgruppe landet im Kerberos-Token des Benutzers (oder Computers), sodass Sie Rechte basierend auf der Gruppenmitgliedschaft zuweisen können.
Allerdings hat das Kerberos-Token eine maximale Größe undSeltsame Dinge passieren, wenn der Benutzer zu vielen Gruppen gehört
[...]Bei der Authentifizierung wird dem Benutzer möglicherweise eine Meldung wie „HTTP 400 – Ungültige Anforderung (Anforderungsheader zu lang)“ angezeigt. Der Benutzer hat außerdem Probleme beim Zugriff auf Ressourcen und die Gruppenrichtlinieneinstellungen des Benutzers werden möglicherweise nicht richtig aktualisiert.
Die Anmeldung kannscheitert auch komplett
[...]Das System kann Sie aufgrund des folgenden Fehlers nicht anmelden: Während eines Anmeldeversuchs hat der Sicherheitskontext des Benutzers zu viele Sicherheits-IDs angesammelt. Bitte versuchen Sie es erneut oder wenden Sie sich an Ihren Systemadministrator.
Diese Situation wird allgemein als „Token-Bloat“ bezeichnet.
Die Verteilergruppen werden nicht zum Kerberos-Token hinzugefügt (deshalb können Sie Berechtigungen nicht auf Grundlage von Verteilergruppen erteilen/verweigern). Auf diese Weise wird vermieden, dass die Größe des Benutzertokens zunimmt.
Kurz gesagt: Verwenden Sie Sicherheitsgruppen sparsam, denn Sie möchten sicherlich nicht die maximale Anzahl an Gruppen pro Benutzer erreichen!