Conheço o propósito básico do grupo de segurança e do grupo de distribuição no Active Directory. O grupo de segurança é usado para acessar o recurso de rede e o grupo de distribuição é usado para enviar listas de distribuição por correio. Mas minha dúvida é que o grupo de segurança também pode ser usado para distribuir o email para esse grupo usando o grupo de segurança habilitado para email. Se o grupo de segurança foi usado tanto para segurança quanto para distribuição de correio, qual é a necessidade de usar o grupo de distribuição no Active Directory?
Responder1
Um grupo de segurança termina no token Kerberos do usuário (ou computador), para que você possa atribuir direitos com base na associação ao grupo.
No entanto, o Token Kerberos tem um limite máximo de tamanho ecoisa estranha acontecerá se o usuário pertencer a muitos grupos
[...]Ao autenticar, o usuário pode ver uma mensagem como HTTP 400 - Bad Request (Request Header too long. O usuário também tem problemas para acessar recursos e as configurações de Política de Grupo do usuário podem não ser atualizadas corretamente.
O login podefalhar completamente também
[...]O sistema não pode fazer logon devido ao seguinte erro: Durante uma tentativa de logon, o contexto de segurança do usuário acumulou muitos IDs de segurança. Tente novamente ou consulte o administrador do sistema.
Esta situação é geralmente chamada de "inchaço de token"
Os grupos de distribuição não serão adicionados ao Token Kerberos (por isso não é possível conceder/negar permissões com base em grupos de distribuição), evitando assim aumentar o tamanho do token do usuário.
Resumindo, use grupos de segurança com moderação, porque você certamente não deseja atingir o número máximo de grupos por usuário!