Micha1985

Hier das Script: # Powershell ISE als Admin starten # Das Powershellscript entfernt die Sicherheitsgruppen bei deaktivierten Computerkonten OU=_deaktivierte_Computerkonten,OU=Alte_Objekte,DC=domain,DC=com # Importiere das Active-Directory Modul Import-Module ActiveDirectory # Konfiguration OU distinguishedName mit $SearchBaseOU # OU=_deaktivierte_Computerkonten,OU=Alte_Objekte,DC=domain,DC=com # OU festlegen mit $SearchBaseOU $SearchBaseOU = "_deaktivierte_Computerkonten,OU=Alte_Objekte,DC=domain,DC=com" # Gruppe Domaincomputers NICHT entfernen mit $ExcludeGroups $ExcludeGroups = @("Domain Computers") # Erstelle Logfile auf Pfad *.log auf Domain-Controller # Der Ordnerpfad muss manuell angelegt werden # Script auf gleichen Domain-Controller starten $LogFile = "C:\Protokolle\Aufgabenplanung\Computergruppen_entfernen\Computergruppen_entfernen.log" # Konfiguration Inhalt und Aufbau Logdatei *.log function Write-Log { param ([string]$Message) $Timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss" Add-Content -Path $LogFile -Value "$Timestamp - $Message" } Write-Log "=== Skriptstart ===" # Deaktivierte Computer in der OU abrufen mit $DisabledComputers und $SearchBaseOU und {Enabled -eq $false} $DisabledComputers = Get-ADComputer -SearchBase $SearchBaseOU -Filter {Enabled -eq $false} -Properties MemberOf foreach ($Computer in $DisabledComputers) { Write-Log "Verarbeite Computer: $($Computer.Name)" if ($Computer.MemberOf) { foreach ($GroupDN in $Computer.MemberOf) { $Group = Get-ADGroup $GroupDN # Nur Sicherheitsgruppen beruecksichtigen if ($Group.GroupCategory -eq "Security" -and $ExcludeGroups -notcontains $Group.Name) { try { Remove-ADGroupMember -Identity $Group -Members $Computer -Confirm:$false Write-Log " -> Entfernt aus Gruppe: $($Group.Name)" } catch { Write-Log "FEHLER beim Entfernen aus $($Group.Name): $_" } } } } else { Write-Log " -> Keine Gruppenmitgliedschaften gefunden" } } Write-Log "=== Skriptende ==="

Hallo zusammen, danke für die Erinnerung! Morgen wird es kommen! Ist aktuell viel los.

Hallo zusammen, erst einmal danke für Eure Antworten und die Hilfen! Ich habe mir jetzt ein Script zusammengebastelt - tatsächlich auch mit ChatGPT. Getestet habe ich es erfolgreich auf einen unserer DCs. Wäre das Interesse da, dass ich es hier teile? MfG

Hallo und guten Abend, erst einmal vielen Dank für die Antworten! Bis jetzt habe ich nicht wirklich eine Lösung gefunden. Wenn jemand ein lauffähiges PS-Script hat, wäre mir wirklich hilfreich aktuell.

Hallo zusammen, ich möchte bei deaktivierten Computerkonten in einer bestimmten OU in der Domain die Sicherheitsgruppen entfernen via Powershell. Leider finde ich nicht so wirklich eine Lösung im Netz. Hat hier jemand ein Powershellscript? Gruß!

Nachtrag: Habe es gefunden: Get-ADUser -Filter * -SearchBase "OU=distinguishedName" | Set-ADUser -Clear scriptpath

Hallo zusammen, ich bin die zwei Scripte Variante 1 und Variante 2 durchgegangen. Funktioniert perfekt - vielen Dank! Da hier die Pflege des AD absolut die letzten Jahre vernachlässigt worden ist, habe ich noch eine weitere Frage zu einen Script. Ich habe eine OU, wo die deaktivierten AD-Benutzer abgelegt sind. Gibt es ein Script, was das Attribut scriptPath leert bzw. den Eintrag entfernt? Beste Grüße an alle!

Hallo zusammen! vielen Dank für die genialen Antworten!! Das PS-Script von Variante 1 hat mir schon wirklich sehr geholfen. Das PS-Script von Variante 2 schaue ich mir zeitnah an. Beste Grüße!

Hallo in die Runde! wie kann ich am besten herausfinden, welche Anmeldescripte in dem SysVol Ordner nicht in Verwendung sind bzw. keinen Benutzer hinterlegt ist? Ich wollte jetzt nicht alles einzeln durchgehen. Vielen Dank für eure Hilfe :)

Hallo, danke für die Antwwort. Ja die notwendigen Berechtigungen habe ich. Ich konnte den Ordner löschen, umbenennen etc. . Ich habe es auch mit dem lokalen SID500 Administrator versucht, aber auch leider ohne Erfolg. Wenn Du das Powershell mal raussuchen könntest, wäre es echt nice. Gruß

Hallo zusammen, leider bin ich in diesem Thema immer noch nicht weitergekommen. Hat denn niemand mehr eine Idee? Nach Suche im Netz bin ich auf das Tool Delprof2 gestoßen. Hat damit schon jemand gearbeitet?

Moin, nein leider keine Verbesserung. Was mir jetzt aufgefallen ist, dass einige Server im ADDS in dem Default-Container Computers liegen. So bekommen die keine Richtlinien zugewiesen. Kann es daran liegen?

Hallo zusammen, vielen Dank für die zahlreichen Antworten! Es geht nicht um AD-Benutzer löschen im Active-Directory (auf dem Domain-Controller). Auf dem Server01 bzw. Servern sind alte Domainadministratorkonten von ehemaligen Admins in den Benutzerprofilen eingetragen. Auf anderen Servern sind ebenfalls viele alte Benutzerkonten und Domainadministratorkonten eingetragen. Diese kann ich leider nicht löschen, da der Button ausgegraut ist. Mit dem lokalen .\Administratorkonto kann ich sie leider auch nicht löschen, da der Button ebenfalls ausgegraut ist. Siehe auch Screenshot.

Danke für die Antwort! Den Haken kenne ich mit dem Schutz vor zufälligem Löschen. Der Haken ist bei keinen Benutzer gesetzt 😞

Hallo zusammen, ich habe ein Problem mit AD-Benutzern in der lokalen Benutzerverwaltung bei einigen Servern. Diese lassen sich nicht in der lokalen Benutzerverwaltung löschen. Der Button Löschen ist ausgegraut. Da es einige Benutzer sind, wollte ich jetzt nicht alle einzeln händisch löschen im Explorer und in der Regedit. Die GPO, die inaktive Benutzer nach X Tagen löscht, wollte ich auch nicht unbedingt aktiv schalten. Hat jemand einen Rat? Vielen Dank für eure Antworten und schon einmal ein schönes Wochenende gewünscht 😃 .

ja es hat damit geklappt besten Dank!

Hallo zusammen, Nachtrag: kann ich den oben genannten Powershellbefehl auch auf eine einzelne OU anwenden? Grüße!

Hallo zusammen, vielen Dank für die zahlreichen Antworten! Es hat mir viel geholfen! Überflüssige Windows-Features kann man doch auf DC's auch entfernen, wie z. B. XPS-Viewer und Wireless-Networking, oder? Sehe ich keinen Sinn drin, dass das auf einen DC installiert ist.

Hallo zusammen, danke für die Antworten. Es scheint zu funktionieren . Grüße!

Hallo und guten Abend zusammen, ich habe mal wieder eine Frage in die Runde. Ich möchte aus dem AD Computerkonten auslesen, die seit XXX Tagen nicht mehr angemeldet waren und optional dazu deaktivierte Computerkonten. Ich habe folgendes gefunden: Get-ADComputer -Filter * -Properties operatingsystem,lastlogondate | Where-Object {($_.operatingsystem -notlike "*Server*") -and ($_.lastlogondate -le -and $_.enabled -eq $true ((Get-Date).adddays(-365)))} | Sort-Object Lastlogondate | Format-Table Name,Lastlogondate Wo ist der Fehler? Vielleicht bin ich auch nur wieder zu blind. Grüße!

Moin zusammen, habt Ihr die FSMO-Rollen auf den DCs verteilt oder alle FSMO-Rollen auf einen DC?

Moin zusammen, wenn Ihr einen Windows Server härtet und absichert - was macht Ihr in der Regel immer? Nicht benötigte Dienste deaktivieren? Spezielle Admins erstellen? Admins umbenennen? Vielen Dank für die Antworten

Moin, sorry für die späte Antwort. Ich habe es noch einmal geprüft. Ein zentraler Speicher ist von einen meiner Vorgänger eingerichtet worden. \\DOMAIN\SYSVOL\DOMAIN\Policies\PolicyDefinitions Es steht auch zentraler Speicher, wenn ich eine GPO bearbeite (siehe Anhang).

Hallo, ist es nicht sogar mit GPO möglich mit den neuen Office ADMX-Dateien die Standardfarbe festzulegen? Ich meine sowas gelesen zu haben. Ich hatte zum Beispiel die Farbe zum mankieren festgelegt für bestimmte Benutzer.

Hallo zusammen, ich möchte eine OU mit den Unter-OUs die Registerkarte "Verwaltet von" via Powershell ISE ausfüllen. Leider macht Powershell nur die Oberste-OU und es wird nicht weiter nach unten vererbt. Was fehlt im Befehl? Mein Powershell: Set-ADOrganizationalUnit -Identity "OU=Kein-Windows,DC=domain,DC=de" -ManagedBy "CN=JohnDoe123,OU=IT,OU=Benutzer,DC=domain,DC=de" Gruß an alle 🙂 !