我们有一个混合部署,在管理本地 DC 的邮件设置时遇到了一些麻烦。我相信解决方案是将 forrest 的功能级别提高到 2016,但我想在迁移之前确认。
在 Windows Server 2012 R2 Datacentre 上运行的域控制器与当前功能级别相匹配。 我们为所有员工使用启用邮件的安全组。 ([email protected]) 我们需要限制哪些内部用户可以向所有员工发送邮件。 Exchange 管理员不断告诉我们在本地进行更改。 我们的 DC 似乎不知道这种类型的组是可能的,我们也找不到任何方法来管理本地组。
我认为我们需要将功能级别提高到 2016 年是否正确?是否有我们可以应用的更新以从 2012 年级别的福雷斯特获得此功能,还是我们运气不好?
试图以通常的方式管理一个组(AD 用户和计算机),本地 AD 认为它是一个安全组而不是分发组 - Azure AD 知道它是一个启用邮件的安全组。
几点。
使用 Windows 2012 R2 域控制器,您无法立即提升功能级别。您需要引入 2016 年或 2019 年的新域控制器,完全删除 2012 R2 的域控制器,然后才能提高功能级别。这是您需要计划的事情,因为对 Windows 2012 R2 服务器的所有支持即将结束。
提高功能级别与您的问题无关。
如果要限制用户向此已启用邮件的组发送电子邮件,则需要在 Exchange Online 中进行更改(假设它已同步并且 Exchange Online 可以正确看到它)。您可以在 Exchange Online 中创建传输规则或编辑组的属性(邮件限制选项并坚持谁可以发送到该组)。
希望这有帮助。
DC的功能等级与你目前的情况无关
如果您迁移了电子邮件并删除了内部部署的任何 Exchange 服务器,则必须在本地 DC 的属性选项卡中编辑启用邮件的安全组。
在这里您可以找到有关属性的更多信息。
已更新
在您的域控制器中,您可以通过 PowerShell 将用户添加到启用邮件的组
$GroupIdentity = "GROUPNAME"
$User = Get-ADUser -Filter 'Name -like "USER-NAME"'
Set-ADGroup $GroupIdentity -Add @{authOrig=$User.DistinguishedName}
# Get the user who can send emails to the Distribution Group
Get-ADGroup -Identity $GroupIdentity -Property "authOrig" | ForEach-Object {$_.authoring}
命令执行后,您必须在 Azure AD Connect 中强制同步。
希望这有帮助!