Löschen Sie eine Windows-Gruppe in Active Directory


7

Ich bereinige einige AD-Gruppen, die nicht mehr verwendet werden. Eine der AD-Gruppen konnte ich nicht löschen, da anscheinend ein Mitglied diese Gruppe als primäre Gruppe festgelegt hat (was vermutlich jemand versehentlich getan hat). Gibt es eine einfache Möglichkeit herauszufinden, wer diese Gruppe als primär festgelegt hat?

Antworten:


9

Sie müssen den primären GroupToken-Wert der betreffenden Gruppe abrufen:

  1. Verwenden Sie adsiedit, um die Gruppe zu untersuchen, die gelöscht werden soll. Notieren Sie sich den Wert des Attributs primaryGroupToken.
  2. Erstellen Sie eine gespeicherte Abfrage in Active Directory-Benutzern und -Computern mithilfe der folgenden "Benutzerdefinierten Suche", wobei XXX = der Wert ist, den Sie für primaryGroupToken gefunden haben:

    (& (objectCategory = person) (objectClass = user) (primaryGroupID = XXX))

  3. Aktualisieren Sie die Abfrage, um zu sehen, wer angezeigt wird

Alternativ - Wenn erwartet wird, dass alle Benutzer Mitglieder von Domänenbenutzern als primäre Gruppe sind, definieren Sie die Abfrage einfach mit (513 ist der typische Wert für Domänenbenutzer):

(&(objectCategory=person)(objectClass=user)(!primaryGroupID=513))

Zusätzliche Links:

http://support.microsoft.com/default.aspx?scid=kb;en-us;321360 http://support.microsoft.com/default.aspx?scid=kb;en-us;297951

Gute Frage!


2

Nur indem man die Privilegien gibt

So löschen Sie die Windows-Gruppe in Active Directory

  1. Notizblock öffnen

  2. Kopieren Sie den folgenden Text und fügen Sie ihn in den Notizblock ein

  3. Speichern Sie die Datei mit der Erweiterung .ps1.

---------- SCRIPT BEGINNT HIER --------------

VERSION 2

19.04.2010

Skript zum Ändern von benannten Benutzern

1.pull bezeichnete Benutzer aus CSV

Benutzergruppenmitgliedschaft entfernen

2. Löschen Sie die Manager-Eigenschaft

3. Vor GAL verstecken

4. Bewegen Sie sich zu deaktivierter Organisationseinheit

5.Benennen Sie csv zum Abschlussdatum, wechseln Sie zum Abschlussdatum

$ groupmembershiplog = "c: \ removeADAttributes \ group_membership_log.csv" $ erroractionpreference = "SilentlyContinue" $ termfile = Testpfad -Pfad "C: \ removeADAttributes \ termed_employees.csv" If ($ termfile -eq "True") {$ inputcsv = "C: \ removeADAttributes \ termed_employees.csv" $ completedir = "C: \ removeADAttributes \ complete \" $ date = Get-Date-Format d

import-CSV $ inputcsv | foreach-object {$ username = $ _. account

Gruppen in Datei exportieren

$ groups = (Get-QADUser $ username) .memberof Add-Content $ groupmembershiplog $ username "," $ groups

Gruppen entfernen

$ groups | Get-QADGroup | Dabei gilt: {$ _. name -ne "Domänenbenutzer"} | Remove-QADGroupMember -Member $ name Set-QADUser -Identity $ username -objectattributes @ {"Manager" = "$ null"} $ currentuser = Get-QADUser -Identity $ username -SizeLimit 1 $ currentOU = $ currentuser.parentcontainer $ currentOU = $ currentOU.Split ('/') $ currentOU = $ currentOU [1] Move-QADObject -identity $ username -NewParentContainer "domainname.com/$ou/Disabled Accounts"}

import-CSV $ inputcsv | foreach-object {$ username = $ .account Add-PSSnapin Microsoft.Exchange.Management.PowerShell.Admin Set-Mailbox -Identity $ username -HiddenFromAddressListsEnabled $ true} import-CSV $ inputcsv | foreach-object {$ username = $ .account Add-Content "C: \ removeADAttributes \ removeADAttributes_log.csv" $ date "," $ username}

Move-Item $ inputcsv -Destination $ completedir $ todaydate = $ date.replace ("/", "_") $ newfilename = $ todaydate + ". CSV" Rename-Item "C: \ removeADAttributes \ complete \ termed_employees.csv" - NewName $ newfilename

} else {$ date = Get-Date-Format d Inhalt hinzufügen "C: \ removeADAttributes \ removeADAttributes_log.csv" $ date ", kein Begriff Benutzer, kein Begriff Benutzer" exit}

---------- SCRIPT ENDSS HIER ------------

Hoffe, diese Skripte werden für Sie nützlich sein


-2

Ich weiß, dass dies ein alter Thread ist, aber für Leute, die das gleiche Problem haben. Wenn Sie die Gruppe trotzdem entfernen, gibt es eine einfachere Methode.

  • Öffnen Sie die Gruppe und wechseln Sie zur Registerkarte Mitglieder.
  • Wählen Sie alle Benutzer aus
  • Entfernen Sie die Benutzer.
  • Einer der verbleibenden Benutzer hat die Gruppe als primäre. Für mich war es der Benutzer mit dem niedrigsten alphabetischen Namen.
  • Ändern Sie die primäre Gruppe für diesen Benutzer
  • Gruppe löschen oder wiederholen, um andere Benutzer mit dieser Gruppe als primärer Gruppe zu finden.

1
Dies kann sich als unannehmbar zeitaufwändig erweisen. Es gibt auch Skripte \ automatisierte Möglichkeiten, dies zu tun.
Jordan W.
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.