Если домен, на котором будет развернута система Exchange 2003, работает или ранее работал в смешанном режиме, то во время процесса подготовки домена может появиться сообщение о том, что домен, возможно, является небезопасным из-за наличия группы совместимого доступа Pre-Windows 2000 Compatible Access. Это всего лишь предупреждение, и процесс установки Exchange можно продолжить. Однако при этом следует помнить, что из-за текущей конфигурации домена функционирование Exchange может оказаться небезопасным.
Члены группы Pre-Windows 2000 Compatible Access (группа доступа, совместимого с версиями до Windows 2000) получают возможность видеть всех членов группы, у которых членство помечено как скрытое. Для того чтобы защитить членство в группах, перед началом установки Exchange 2003 из группы Pre-Windows 2000 Compatible Access потребуется удалить всех пользователей и все подгруппы. Решить этот вопрос, связанный с безопасностью, можно непосредственно после завершения установки
Exchange 2003.

Нередко возникает путаница, когда специалисты по разворачиванию Exchange слышат, что для того, чтобы стало возможным внедрение Exchange 2000 или Exchange 2003, каталог Active Directory данной организации должен работать только в собственном режиме. Это не так. Как описано в главе 15, если предопределенный домен не функционирует в собственном режиме, то во время процесса миграции некоторые групповые свойства общедоступных папок будут перенесены некорректно. В этой же главе предлагаются обходные пути решения упомянутой проблемы, с помощью которых система Exchange 2003 может быть установлена в структуре домена смешанного режима, если это необходимо в организации.

Выбор групповой модели Windows 2000/Windows 2003
Вопрос о группах может стать большой проблемой во время установки Exchange 2003, особенно в средах на базе Windows 2000 или Windows 2003, в которых каталог Active Directory содержит несколько доменов. Система Exchange 2003 использует группы Windows 2000 вместо списков рассылки, которые применялись в Exchange 5.5. Списки рассылки Exchange 5.5 были заменены группами рассылки в Active Directory. Группа рассылки Windows 2000 или Windows 2003 - это фактически то же самое, что список рассылки в среде Exchange 5.5, за исключением невозможности установки разрешений на основе списка управления доступом. Это подразумевает, что стратегия защиты календарей, общедоступных папок и ресурсов, используемая в рамках Exchange 5.5, в Exchange 2003 должна быть переконструирована. Существуют две основные проблемы, связанные с группами, на которые должны обратить внимание архитекторы и администраторы сети:
• Видимость.
• Права доступа.
Просмотр членства в группе с помощью функции видимости
Функция видимости дает пользователям возможность видеть членство в группах. Эта функция становится крайне важной во время отправки сообщения электронной почты группе пользователей, поскольку при этом необходимо видеть точный список адресатов, которым направляется это сообщение.
Ниже показано влияние типа группы на функцию видимости.
• Локальная группа домена. Членство локальной группы домена в глобальном каталоге не указывается. Пользователи в домене могут видеть состав локальных групп только из их собственных доменов. Они также могут видеть записи, соответствующие локальным группам домена, из других доменов в глобальном списке адресов (Global Address List - GAL), но при этом не могут видеть членов группы.
• Глобальная группа. Членство глобальной группы домена в глобальном каталоге не указывается. Пользователи в домене могут видеть состав глобальных групп только из их собственных доменов. Они также могут видеть записи, соответствующие глобальным группам, из других доменов в глобальном списке адресов (GAL), но при этом не могут видеть членов группы.
• Универсальная группа. Объекты домена находятся в глобальном каталоге. Пользователи могут видеть состав группы вне зависимости от места постоянного нахождения группы.
Для моделей с единственным доменом или для моделей, в которых в качестве корня леса используется фиктивный домен и присутствует только один домен первого уровня, данная проблема имеет довольно простое решение. В конструкциях подобного рода любая групповая модель будет работать до тех пор, пока все пользователи почтовых ящиков постоянно пребывают в одном и том же домене. Если в будущем планируется добавление доменов, необходимо отдать предпочтение универсальным группам, поскольку они обладают достаточной гибкостью. Другим вариантом может быть использование локальных групп домена и последующее преобразование их в универсальные группы (после установки дополнительных доменов).