В семействе серверных продуктов Microsoft поколения 2003 появилась поддержка групп, базированных на ldap запросе (query-groups). Такие группы полезны в том случае, когда членство пользователей в группе зависит от совокупности атрибутов AD. При этом отсутствует необходимость добавлять в группу конкретных пользователей, достаточно лишь изменить атрибуты и при следующем запросе состава группы пользователь «появится» в ней автоматически. Оборотной стороной таких групп является низкая скорость работы с ними, поскольку каждый раз при вызове списка членства в группе формируется и отрабатывается ldap запрос. Исходя из этого, становится понятной необходимость планирования количества query-based групп и их наполнения.
• Определение стандартных (mail-enabled) групп. • Определение групп, базированных на ldap запросах (query-based groups). • Определение ограничений на доступ и использование группами пользователей mail-enabled групп для рассылки сообщений
7.1 Mail-enabled groups
Для каждого OU создается Distribution Group, членами которой являются все пользователи, входящие в группу безопасности этого OU.
7.2 Query-based groups
Группы, базированные на LDAP-запросе создаются для: • Списка Everyone • Списков персонала со следующими критериями формирования: o Принадлежность к группам безопасности одного типа но на разных площадка o Принадлежность к указанной организации o И д.р.
Эти группы не хранят постоянно список пользователей, а пересоздают его при каждом обращении по результатам LDAP запроса.
7.3 Ограничения на использование
Рекомендуется ввести ограничения на использование списка Everyone. Разрешениями на использование этой группы должны иметь: