活动目录中通讯组的需求

Question

我知道在活动目录中安全组和分发组的基本用途。安全组用于访问网络资源，通讯组用于在邮件上发送分发列表。但我怀疑，安全组也可以使用启用邮件的安全组将邮件分发给该组。如果安全组既用于安全又用于分发邮件，那么在活动目录中使用通讯组有什么需要？

Answer 1

安全组在用户(或计算机的) Kerberos令牌中结束，因此可以根据组成员关系分配权限。

但是，Kerberos令牌具有最大大小限制和如果用户属于许多组，就会发生奇怪的事情。。

...进行身份验证时，用户可能会看到诸如HTTP400-Bad请求(请求头太长)之类的消息。用户在访问资源时也会遇到问题，并且用户的组策略设置可能无法正确更新。

登录5月也完全失败了

...系统无法登录，因为以下错误:在尝试登录期间，用户的安全上下文累积了太多的安全ID。请再次尝试或咨询您的系统管理员。

这种情况通常被称为“象征性的膨胀”。

通讯组将不会添加到Kerberos令牌(这就是为什么不能根据通讯组授予/拒绝权限)，从而避免增加用户令牌的大小。

总之，要谨慎使用安全组，因为您当然不希望达到每个用户的最大用户数！