Sicherheitsgruppen entfernen bei deaktivierten AD-Benutzern

[Michael1985]

Hallo zusammen, 

ich möchte ein Powershell Script verwenden, um in einer bestimmten OU von den bereits deaktivierten Benutzern die Sicherheitsgruppen entfernen. 

Ich bin im Internet fündig geworden, aber leider funktioniert es nicht so richtig. 

Hier das Script:

Get-ADUser -Filter  “Enabled -eq ‘$false'” -SearchBase ‘OU=Test_deaktivierte_Benutzer,OU=User,DC=Domain,DC=int‘ -Properties memberOf | ForEach {
Remove-ADPrincipalGroupMembership -Identity $_.SamAccountName -MemberOf $_.memberOf -Confirm:$false
}

 

Ich bekomme beim testen von dem Script folgende Meldung:

Get-ADUser : Fehler beim Analysieren der Abfrage: "Enabled -eq ‘False'" Fehlermeldung: "syntax error" an folgender Position: "13".
In Zeile:1 Zeichen:1
+ Get-ADUser -Filter “Enabled -eq ‘$false'” -SearchBase ‘OU=_Test_deakt ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ParserError: (:) [Get-ADUser], ADFilterParsingException
    + FullyQualifiedErrorId : ActiveDirectoryCmdlet:Microsoft.ActiveDirectory.Management.ADFilterParsingException,Microsoft.ActiveDirectory.Management.Commands.Get 
   ADUser

 

Ich bin vermutlich einfach zu blind und sehe den Fehler nicht. 

Vielen Dank für Eure Hilfe 🙂 

 

 

[FISI-Prüfer]

vor 52 Minuten schrieb Michael1985:

Hier das korrigierte Script:

Get-ADUser -Filter  {Enabled -eq $false} -SearchBase ‘OU=Test_deaktivierte_Benutzer,OU=User,DC=Domain,DC=int‘ -Properties memberOf | ForEach {
Remove-ADPrincipalGroupMembership -Identity $_.SamAccountName -MemberOf $_.memberOf -Confirm:$false
}

 

Moin!

Wie Dir Deine Shell schon mitgeteilt hat wollte da die Syntax nicht. Du hast versucht verschiedene Typen miteinander zu vergleichen. So solltest Du weiter kommen.

Viel Erfolg

[Michael1985]

vor 14 Minuten schrieb FISI-Prüfer:

Moin!

Wie Dir Deine Shell schon mitgeteilt hat wollte da die Syntax nicht. Du hast versucht verschiedene Typen miteinander zu vergleichen. So solltest Du weiter kommen.

Viel Erfolg

Moin!

vielen Dank es funktioniert!

 

Gruß Michael!

[Gast]

Es ist zwar beantwortet und funktionstüchtig... aber mal eine Frage....

Wie lange bewahrst du deaktivierte Benutzer (nehme an ausgetretene MA) im System auf? Bei mir ist es so, dass wir eine Karenzzeit von 90 Tagen haben und dann das Konto löschen samt aller Rechte und dem Postfach.

Denn es kann ja sein, dass der MA innerhalb der 90 Tage doch nochmal wieder eingestellt wird o. Nachfolge tritt an und soll die selben Rechte bekommen (da kann ich Copy-Member Script laufen lassen). 

Nur so mal gefragt...

[Enno]

Kann ich für uns beantworten.

10 Jahre mit dem Ende des Jahres des Austritts.

a) kann irgendwo immer was auftauchen wo nur der User Zugriff hatte.

b) aufgrund eines Gerichtsurteils in einem NON-EU Land. Sind wir verpflichtet alle Userdaten 10 Jahre aufzuheben. Gab damals nen Fall wo nen Ex-MA die Firma wegen was anderem Verklagt hat und irgendwann im Prozess kam es dazu das der Richter die Userdaten sehen wollte, die waren aber schon weg.

[Michael1985]

Hallo,

noch zu dem Thema.

Wir bewahren den deaktivierten AD-Benutzer dann weitere 365 Tage auf. Dann ist er weitere 180 Tage im AD-Papierkorb.

Seine Benutzerdaten bewahren wir auf.