[Win2k3] Distribution groups en security groups

Ik had vandaag een meningsverschil met mijn docent.
Het gaat hierbij, zoals de titel al aangeeft, om de distribution en security groups.

In de basis komt het hier op neer;
Stel je hebt een universal group nodig om rechten te geven aan een aantal users op b.v. een share.

Je kan dan natuurlijk je dc van mixed naar native mode raisen, en zodoende een universal security group aanmaken, users erin, toevoegen aan je local security groop (diegene die je op de resource hebt staan) en klaar. Echter, hier zitten een aantal nadelen aan (je kan niet meer terug) en je wil in mixed mode blijven draaien.

Nou stelt mijn docent voor als oplossing om een distribution group te maken (universal) en hierin de users toe te voegen. Deze universal distribution group voeg je dan weer toe aan de local security group van de resource.

Mijn vraag:
Gaat dit dan werken? Ik dacht (vond) zelf van niet, omdat een snelle blik in de glossary van win2k3 mij het volgende opleverde:

Distribution groups can be used only with e-mail applications (such as Microsoft Exchange) to send e-mail to collections of users. If you do not need a group for security purposes, create a distribution group instead of a security group.

Als je bovenstaande oplossing gebruikt (dus een distribution group toevoegen aan een local security group) dan ga je hem toch voor security purposes gebruiken?
Oftewel; dat zou toch helemaal niet werken? Of toch wel?

Dan nog een leuke vraag daar bovenop, kan je de oplossing van universal distribution group wel gebruiken om users in toe te voegen, waarna je de gehele group toevoegd aan b.v. een group die exchange full administrator rechten heeft.

Oftewel, je geeft in je systemmanager een group aan die je exchange full administrator rechten geeft, en vervolgens add je je universal distribution group aan je security group. Krijgen de mensen in je universal distribution group dan dus ineens exchange full administrator rechten? (hence: zouden ze dan dus een exchange 2003 server kunnen adden?).

Ik kom er zelf ff op het moment niet uit, en of ik kan niet zoeken, of MS moet hun search engine verbeteren, want ik kan nergens een vergelijkbare situatie vinden.
Iemand ideeen?

mutsje schreef op donderdag 18 november 2004 @ 08:37:
Universal groups gebruikt men om users uit verschillende sites toegang te geven bv. In Windows 2003 heb je ook Universal Groups die gecached worden je hebt dan geen Global Catalog server op de site nodig om na te gaan of users X wel in groep Y zit. Lees voor het caching gedeelte dit article maar eens door How to disable the requirement that a global catalog server be available to validate user logons

het gevaar met Universal groups is inderdaad dat men op de hele forrest ineens veel teveel rechten verkrijgt wat niet wenselijk is.

Verder raad ik niet aan om Distribution lists als Security Groups te gaan hanteren... denk dat jou leraar maar weer terug naar de schoolbanken moet.

Maar je kan dus wel een, hetzij via een omweg (namelijk uni distribustion group koppelen aan je local security group), rechten toekennen aan een distribution group?

Thanx voor de link, ik ga er binnenkort maar eens mee stoeien, eens kijken hoe of wat in de praktijk (werkt altijd verhelderend).

mutsje schreef op donderdag 18 november 2004 @ 19:08:
Ja je kan andere security groups in de distributie list zetten alleen je kunt de distributie list niet als group op een folder permissions geven. Dus je schiet er weinig mee op

Ja, dat weet ik, maar ik bedoel het precies anders om. Je hebt een security group aangemaakt. b.v. testshare.
Deze security group geef je rechten op de share in kwestie.
Dan maak je een universal distribution group, testuni, aan. Je zet hier wat users in. (piet, hans, karel).

Vervolgens ga je naar je security group (testshare dus) en voeg je testuni aan je security group toe.

Wat zijn nu de rechten van de users die in de testuni group zitten? Kunnen die dus bij de share met de rechten van testshare?

Ben nu ff aan het ghosten, zodirect ga ik het eens proberen.