Conozco el propósito básico del grupo de seguridad y del grupo de distribución en el directorio activo. El grupo de seguridad se utiliza para acceder al recurso de red y el grupo de distribución se utiliza para enviar listas de distribución por correo. Pero mi duda es que el grupo de seguridad también se puede utilizar para distribuir el correo a ese grupo mediante un grupo de seguridad habilitado para correo. Si el grupo de seguridad se ha utilizado tanto para seguridad como para distribución de correo, ¿cuál es la necesidad de utilizar el grupo de distribución en el directorio activo?
Respuesta1
Un grupo de seguridad termina en el token Kerberos del usuario (o computadora), por lo que puede asignar derechos según la membresía del grupo.
Sin embargo, el token Kerberos tiene un límite de tamaño máximo yAlgo extraño sucederá si el usuario pertenece a muchos grupos.
[...] Al autenticarse, el usuario puede ver un mensaje como HTTP 400 - Solicitud incorrecta (encabezado de solicitud demasiado largo. El usuario también tiene problemas para acceder a los recursos y es posible que la configuración de la Política de grupo del usuario no se actualice correctamente.
El inicio de sesión puedetambién falla completamente
[...] El sistema no puede iniciar sesión debido al siguiente error: Durante un intento de inicio de sesión, el contexto de seguridad del usuario acumuló demasiadas ID de seguridad. Inténtelo de nuevo o consulte con el administrador del sistema.
Esta situación generalmente se conoce como "inflación simbólica".
Los grupos de distribución no se agregarán al Token Kerberos (por eso no se pueden otorgar/denegar permisos basados en grupos de distribución), evitando así aumentar el tamaño del token del usuario.
En resumen, utilice los grupos de seguridad con moderación, porque seguramente no querrá alcanzar el número máximo de grupos por usuario.