J'ai un conteneur publicitaire d'utilisateurs handicapés que j'ai besoin pour supprimer toutes leurs adhésions de groupe. Bien que je sache comment supprimer les adhésions sur une base individuelle par Je pensais que la meilleure façon de le faire serait d'utiliser un lecture-hôte nom d'utilisateur, je ne sais pas comment le faire pour tous les utilisateurs du conteneur spécifique.
foreach-objet pour examiner la commande via tous les utilisateurs, mais je ne sais pas comment faire cette action pour le conteneur spécifique. La dernière chose que je veux faire est de supprimer les adhésions de groupe pour tous mes utilisateurs actifs.
3 Réponses :
Si je comprends votre question correctement, cela devrait le faire. Je mets le -confirmez ici pour que vous ne soyez pas accidentellement opposé aux membres du groupe que vous n'avez pas intention.
En plus de spécifier une base de recherche dans mon filtre get-aduseur, j'ai un filtre LDAP qui ne trouve que des comptes désactivés (nous désactivons les comptes de désactivation de manière programmatique. Il existe donc une valeur nominale de reconnaissance unique pour tous les comptes handicapés). Admins (à tort) Stassez un utilisateur actif dans notre utilisateur dédié aux personnes handicapées ou.
Le filtre limite également les résultats aux utilisateurs handicapés membres de certains groupes afin d'éviter de rééchanger des personnes sur chaque cycle de lot. Cela me permet d'avoir une autre sécurité - le lot ne supprime que les adhésions de groupe si un nombre "raisonnable" de comptes récemment handicapés se trouvent et m'envoie une alerte e-mail si trop d'utilisateurs sont retournés dans la recherche. Ce qui est "raisonnable" dépend du nombre de personnes handicapées entre les pistes de lot. Lorsque nous faisons une grande licenciement, je dois entrer et manuellement le numéro pour nettoyer quelques centaines de comptes ... mais cela nous a sauvés lorsque des travailleurs frappants ont été handicapés (ils n'étaient pas destinés à se connecter, mais non On voulait essuyer toutes les adhésions de groupe).
Une fois que vous avez les utilisateurs handicapés, iTERE à travers leurs valeurs de membre pour supprimer les groupes.
J'ai donc essayé d'utiliser votre exemple de script, mais je rencontre des problèmes pour que les choses fonctionnent et que je ne comprends pas où je gâche les choses ou mal comprendre l'erreur. J'ai fait des recherches sur l'erreur et j'ai essayé de donner un sens au paramètre "-Identity", mais quelque chose m'énude. Cependant, il s'agit du message d'erreur que je reçois: < / p> désactivé-adaccount: impossible de convertir 'system.Object []' au type
'Microsoft.ACCRENDIRECTORY.MANSAGNEMENT.AdAccount' requis par le paramètre
'Identité'. La méthode spécifiée n'est pas prise en charge. À
C: \ utilisateurs \ david.gage \ Documents \ PowerShell \ scripts \ Test - Utilisateur désactivé
CLEANUP.PS1: 10 Char: 46
+ Désactiver-Adroccount -Identité $ User1
+ ~~~~~~
+ CatégorieInfo: InvalidArgument: (:) [Désactiver-Adaccount], ParameterBindingException
+ PullalifeRorrorid: ne peut pasConvertargument, Microsoft.AcdifiveDirectory.Management.commands.DisableadAccount
S'il vous plaît vérifier le
Get-Aduser Documentation. Portez une attention particulière au paramètre -SearchBase .