Я знаю основное назначение группы безопасности и группы рассылки в Active Directory. Группа безопасности используется для доступа к сетевому ресурсу, а группа рассылки используется для отправки списков рассылки по почте. Но я сомневаюсь, что группа безопасности может также использоваться для рассылки почты этой группе с использованием группы безопасности с поддержкой почты. Если группа безопасности используется и для безопасности, и для рассылки почты, в чем необходимость использования группы рассылки в Active Directory?
решение1
Группа безопасности сохраняется в токене Kerberos пользователя (или компьютера), поэтому вы можете назначать права на основе членства в группе.
Однако токен Kerberos имеет ограничение по максимальному размеру иЕсли пользователь принадлежит ко многим группам, произойдет странная вещь.
[...]При аутентификации пользователь может увидеть сообщение типа HTTP 400 — Неверный запрос (слишком длинный заголовок запроса). У пользователя также возникают проблемы с доступом к ресурсам, а параметры групповой политики пользователя могут обновляться некорректно.
Вход можетполностью провалиться тоже
[...]Система не может выполнить вход из-за следующей ошибки: Во время попытки входа контекст безопасности пользователя накопил слишком много идентификаторов безопасности. Повторите попытку или обратитесь к системному администратору.
Эту ситуацию обычно называют «раздуванием токенов».
Группы рассылки не будут добавлены в токен Kerberos (именно поэтому вы не можете предоставлять/отказывать в разрешениях на основе групп рассылки), что позволяет избежать увеличения размера токена пользователя.
Короче говоря, используйте группы безопасности экономно, поскольку вы определенно не хотите достичь максимального количества групп на пользователя!