Micha1985

Hier das Script: # Powershell ISE als Admin starten # Das Powershellscript entfernt die Sicherheitsgruppen bei deaktivierten Computerkonten OU=_deaktivierte_Computerkonten,OU=Alte_Objekte,DC=domain,DC=com # Importiere das Active-Directory Modul Import-Module ActiveDirectory # Konfiguration OU distinguishedName mit $SearchBaseOU # OU=_deaktivierte_Computerkonten,OU=Alte_Objekte,DC=domain,DC=com # OU festlegen mit $SearchBaseOU $SearchBaseOU = "_deaktivierte_Computerkonten,OU=Alte_Objekte,DC=domain,DC=com" # Gruppe Domaincomputers NICHT entfernen mit $ExcludeGroups $ExcludeGroups = @("Domain Computers") # Erstelle Logfile auf Pfad *.log auf Domain-Controller # Der Ordnerpfad muss manuell angelegt werden # Script auf gleichen Domain-Controller starten $LogFile = "C:\Protokolle\Aufgabenplanung\Computergruppen_entfernen\Computergruppen_entfernen.log" # Konfiguration Inhalt und Aufbau Logdatei *.log function Write-Log { param ([string]$Message) $Timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss" Add-Content -Path $LogFile -Value "$Timestamp - $Message" } Write-Log "=== Skriptstart ===" # Deaktivierte Computer in der OU abrufen mit $DisabledComputers und $SearchBaseOU und {Enabled -eq $false} $DisabledComputers = Get-ADComputer -SearchBase $SearchBaseOU -Filter {Enabled -eq $false} -Properties MemberOf foreach ($Computer in $DisabledComputers) { Write-Log "Verarbeite Computer: $($Computer.Name)" if ($Computer.MemberOf) { foreach ($GroupDN in $Computer.MemberOf) { $Group = Get-ADGroup $GroupDN # Nur Sicherheitsgruppen beruecksichtigen if ($Group.GroupCategory -eq "Security" -and $ExcludeGroups -notcontains $Group.Name) { try { Remove-ADGroupMember -Identity $Group -Members $Computer -Confirm:$false Write-Log " -> Entfernt aus Gruppe: $($Group.Name)" } catch { Write-Log "FEHLER beim Entfernen aus $($Group.Name): $_" } } } } else { Write-Log " -> Keine Gruppenmitgliedschaften gefunden" } } Write-Log "=== Skriptende ==="

Hallo zusammen, danke für die Erinnerung! Morgen wird es kommen! Ist aktuell viel los.

Hallo zusammen, erst einmal danke für Eure Antworten und die Hilfen! Ich habe mir jetzt ein Script zusammengebastelt - tatsächlich auch mit ChatGPT. Getestet habe ich es erfolgreich auf einen unserer DCs. Wäre das Interesse da, dass ich es hier teile? MfG

Hallo und guten Abend, erst einmal vielen Dank für die Antworten! Bis jetzt habe ich nicht wirklich eine Lösung gefunden. Wenn jemand ein lauffähiges PS-Script hat, wäre mir wirklich hilfreich aktuell.

Hallo zusammen, ich möchte bei deaktivierten Computerkonten in einer bestimmten OU in der Domain die Sicherheitsgruppen entfernen via Powershell. Leider finde ich nicht so wirklich eine Lösung im Netz. Hat hier jemand ein Powershellscript? Gruß!

Nachtrag: Habe es gefunden: Get-ADUser -Filter * -SearchBase "OU=distinguishedName" | Set-ADUser -Clear scriptpath

Hallo zusammen, ich bin die zwei Scripte Variante 1 und Variante 2 durchgegangen. Funktioniert perfekt - vielen Dank! Da hier die Pflege des AD absolut die letzten Jahre vernachlässigt worden ist, habe ich noch eine weitere Frage zu einen Script. Ich habe eine OU, wo die deaktivierten AD-Benutzer abgelegt sind. Gibt es ein Script, was das Attribut scriptPath leert bzw. den Eintrag entfernt? Beste Grüße an alle!

Hallo zusammen! vielen Dank für die genialen Antworten!! Das PS-Script von Variante 1 hat mir schon wirklich sehr geholfen. Das PS-Script von Variante 2 schaue ich mir zeitnah an. Beste Grüße!

Hallo in die Runde! wie kann ich am besten herausfinden, welche Anmeldescripte in dem SysVol Ordner nicht in Verwendung sind bzw. keinen Benutzer hinterlegt ist? Ich wollte jetzt nicht alles einzeln durchgehen. Vielen Dank für eure Hilfe :)

Hallo, danke für die Antwwort. Ja die notwendigen Berechtigungen habe ich. Ich konnte den Ordner löschen, umbenennen etc. . Ich habe es auch mit dem lokalen SID500 Administrator versucht, aber auch leider ohne Erfolg. Wenn Du das Powershell mal raussuchen könntest, wäre es echt nice. Gruß

Hallo zusammen, leider bin ich in diesem Thema immer noch nicht weitergekommen. Hat denn niemand mehr eine Idee? Nach Suche im Netz bin ich auf das Tool Delprof2 gestoßen. Hat damit schon jemand gearbeitet?

Moin, nein leider keine Verbesserung. Was mir jetzt aufgefallen ist, dass einige Server im ADDS in dem Default-Container Computers liegen. So bekommen die keine Richtlinien zugewiesen. Kann es daran liegen?

Hallo zusammen, vielen Dank für die zahlreichen Antworten! Es geht nicht um AD-Benutzer löschen im Active-Directory (auf dem Domain-Controller). Auf dem Server01 bzw. Servern sind alte Domainadministratorkonten von ehemaligen Admins in den Benutzerprofilen eingetragen. Auf anderen Servern sind ebenfalls viele alte Benutzerkonten und Domainadministratorkonten eingetragen. Diese kann ich leider nicht löschen, da der Button ausgegraut ist. Mit dem lokalen .\Administratorkonto kann ich sie leider auch nicht löschen, da der Button ebenfalls ausgegraut ist. Siehe auch Screenshot.

Danke für die Antwort! Den Haken kenne ich mit dem Schutz vor zufälligem Löschen. Der Haken ist bei keinen Benutzer gesetzt 😞

Hallo zusammen, ich habe ein Problem mit AD-Benutzern in der lokalen Benutzerverwaltung bei einigen Servern. Diese lassen sich nicht in der lokalen Benutzerverwaltung löschen. Der Button Löschen ist ausgegraut. Da es einige Benutzer sind, wollte ich jetzt nicht alle einzeln händisch löschen im Explorer und in der Regedit. Die GPO, die inaktive Benutzer nach X Tagen löscht, wollte ich auch nicht unbedingt aktiv schalten. Hat jemand einen Rat? Vielen Dank für eure Antworten und schon einmal ein schönes Wochenende gewünscht 😃 .