Estou fazendo uma limpeza em alguns grupos do AD que não são mais usados. Não consegui excluir um dos grupos do AD porque parece que um membro definiu esse grupo como grupo principal (o que presumo que alguém fez por acidente). Existe uma maneira fácil de descobrir quem tem esse grupo definido como principal?
Responder1
Você precisará obter o valor PrimaryGroupToken do grupo em questão:
- Use adsiedit para examinar o grupo que você deseja excluir. Anote o valor do atributo PrimaryGroupToken.
Crie uma consulta salva em usuários e computadores do Active Directory usando a seguinte "Pesquisa personalizada", onde XXX = o valor encontrado para PrimaryGroupToken:
(&(objectCategory=pessoa)(objectClass=usuário)(primaryGroupID=XXX))
Atualize a consulta para ver quem aparece
Alternativamente - se todos os usuários forem membros de Usuários do Domínio como seu grupo principal, basta definir a consulta usando (513 é o valor típico para Usuários do Domínio):
(&(objectCategory=person)(objectClass=user)(!primaryGroupID=513))
Links Adicionais:
http://support.microsoft.com/default.aspx?scid=kb;en-us;321360 http://support.microsoft.com/default.aspx?scid=kb;en-us;297951
Ótima pergunta!
Responder2
Apenas dando os privilégios
Para excluir o grupo Windows no Active Directory
Abra o bloco de notas
Copie e cole o texto abaixo no bloco de notas
Salve o arquivo com extensão .ps1.
---------- O SCRIPT COMEÇA AQUI --------------
VERSÃO 2
19/04/2010
script para modificar usuários denominados
1. Extrair usuários denominados de CSV
remover associação ao grupo de usuários
2.Limpar propriedade do Gerenciador
3.Ocultar da GAL
4.mover para UO desativada
5.renomear csv para data de conclusão, mover para concluído
$groupmembershiplog="c:\removeADAttributes\group_membership_log.csv" $erroractionpreference = "SilentlyContinue" $termfile=Test-Path -Path "C:\removeADAttributes\termed_employees.csv" If ($termfile -eq "True") { $inputcsv ="C:\removeADAttributes\termed_employees.csv" $completeddir="C:\removeADAttributes\completed\" $date=Get-Date -format d
importar-CSV $inputcsv | foreach-object { $nomedeusuario=$_.conta
exportar grupos para arquivo
$groups=(Get-QADUser $username).memberof Add-Content $groupmembershiplog $username","$groups
remover grupos
$grupos | Get-QADGrupo | onde {$_.name -ne "usuários do domínio"} | Remove-QADGroupMember -Member $nome Set-QADUser -Identity $username -objectattributes @{"Manager"="$null"} $currentuser=Get-QADUser -Identity $username -SizeLimit 1 $currentOU=$currentuser.parentcontainer $currentOU = $currentOU.Split('/') $currentOU = $currentOU[1] Move-QADObject -identity $username -NewParentContainer "domainname.com/$ou/Disabled Accounts" }
importar-CSV $inputcsv | foreach-objeto { $nomedeusuário=$.account Add-PSSnapin Microsoft.Exchange.Management.PowerShell.Admin Set-Mailbox -Identity $username -HiddenFromAddressListsEnabled $true } import-CSV $inputcsv | foreach-objeto { $nomedeusuário=$.account Add-Content "C:\removeADAttributes\removeADAttributes_log.csv" $date","$username }
Move-Item $inputcsv -Destino $completeddir $todaydate=$date.replace("/","_") $newfilename=$todaydate+".csv" Renomear-Item "C:\removeADAttributes\completed\termed_employees.csv" - NovoNome $novonomedoarquivo
} else { $date=Get-Date -format d Add-Content "C:\removeADAttributes\removeADAttributes_log.csv" $date",sem termo usuário, sem termo usuário" exit }
---------- O SCRIPT TERMINA AQUI ------------
Espero que estes scripts sejam úteis para você
Responder3
Eu sei que este é um tópico antigo, mas para pessoas que estão com o mesmo problema. Se você estiver removendo o grupo de qualquer maneira, existe um método mais fácil.
- Abra o grupo e vá para a guia de membros.
- Selecione todos os usuários
- Remova os usuários.
- Um dos usuários restantes tem o grupo como principal. Para mim foi o usuário com o nome alfabético mais baixo.
- Alterar o grupo principal desse usuário
- Exclua o grupo ou repita para encontrar outros usuários com este grupo como principal.