Obtenez tous les groupes vides dans Active Directory

Je suis coincé à essayer de comprendre comment obtenir tous les groupes Active Directory qui sont vides. Je suis venu avec cette commande, qui permet de sélectionner les groupes qui n'ont pas de Membres et ne sont pas un attribut MemberOf quoi que ce soit.

Get-QADGroup -GroupType Security -SizeLimit 0 | where-object {$_.Members.Count -eq 0 -and $_.MemberOf.Count -eq 0} | select GroupName, ParentContainer | Export-Csv c:\emptygroups.csv

C'est la plupart du temps correct, mais cela dit certains groupes, comme le groupe par défaut de Domaine des Ordinateurs est vide, mais il n'est pas vide. Ce groupe a uniquement les membres qui sont des ordinateurs, mais il semble que d'autres groupes qui n'ont que des ordinateurs ne sont pas sélectionnées.

Personne ne sait pourquoi cette commande de traction dans certains des membres?

OriginalL'auteur Kirk | 2012-08-13

  1. 4

    La Get-QADGroup applet de commande a un paramètre -Empty. La description à l'aide d'indices sur la raison de ces groupes par défaut sont retournés:

    Remarque: Un groupe est considéré comme vide, s'il a le "membre" de l'attribut n'est défini. Donc, ce paramètre peut récupérer un groupe qui a uniquement les membres pour lesquels le groupe est défini comme le groupe principal. Un exemple est le groupe Utilisateurs du Domaine, qui, normalement, est le groupe principal pour chaque compte d'utilisateur, tout en ayant l'attribut "membre" n'est défini.

    Je ne suis pas vraiment familier avec la recherche de trucs, mais j'ai été en mesure de trouver des groupes vides de cette façon, (probablement pas le plus efficace):

    Get-ADGroup -Filter {GroupCategory -eq 'Security'} | ?{@(Get-ADGroupMember $_).Length -eq 0}
    Merci pour la réponse. Le problème que je rencontre avec l'aide de Get-ADGroupMember est qu'il erreurs avec La limite de taille pour cette demande a été dépassé sur les grands groupes et semble renvoyer ceux qui n'ont aucun membres. Par exemple, les Utilisateurs de Domaine qui a près de 15 000 membres. Aucune idée sur qui?
    En effet, j'ai essayé sur un test de contrôleur de domaine avec très peu d'utilisateurs et une sorte de suspicion de quelque chose va mal dans un environnement réel. Comme votre réponse ultérieure, il ressemble à Get-QADGroupMember est la façon de le faire. Je suggérerais de réglage -SizeLimit 1 (probablement envie -WarningAction SilentlyContinue) pour la Get-QADGroupMember les appels depuis une seule est nécessaire pour déterminer si elle est vide ou pas.
    Bonne suggestion avec -SizeLimit 1.

    OriginalL'auteur badgerious

  2. 3

    Cette ligne fera (utiliser Import-Module ActiveDirectory première):

    Get-ADGroup -Filter * -Properties Members | where { $_.Members.Count -eq 0 }
    Cela fonctionne pour moi mais je suis certains faux positifs, comme les Utilisateurs de Domaine est en montrant ce qui évidemment n'est pas vide.

    OriginalL'auteur Massimo

  3. 1

    Cette version permettra d'afficher uniquement les groupcategory et SAMaccountname. Le nom pourrait également être utilisé à la place de samaccountname. Le groupcategory va vous montrer si ses un groupe de sécurité ou un DL.

    Get-ADGroup Filter * -Properties Members | where { $_.Members.Count eq 0 } |select groupcategory,samaccountname >c:\temp\nomembers.csv

    OriginalL'auteur gizzle

  4. 1

    En fait ça sera une perte plus rapide dans des environnements avec plusieurs domaines, le grand nombre de groupes (et un grand nombre d'utilisateurs) pour exécuter un script.
    Remarque: vous aurez besoin d'avoir PowerShell module Active directory chargé (import-module activedirectory)

         $domains = Get-ADForest|select -ExpandProperty domains
     $empties = @()
     $oops = @()
     foreach ($d in $domains){
     $groups = get-adgroup -filter * -server $d
     foreach ($g in $groups){
     $q = get-adgroup $g -properties members -server $d|select -expandproperty members
     If(!$?){$oops += $g
     write-host $g.name}
     if ($q -eq $null) {$empties += $g}
     }
     }
     $empties|select name,distinguishedname|export-csv .\empties.csv
     $oops|select name,distinguishedname|export-csv .\oops.csv

    OriginalL'auteur Catalin Pulbere

  5. 0

    Été en mesure d'obtenir les valeurs correctement par la tuyauterie dans Get-QADGroupMember et d'obtenir le nombre de Membres et MemberOf qui pourrait ensuite être filtrée. Cela semble terriblement inefficace, mais il sert à obtenir les chiffres nécessaires.

    Get-QADGroup -SizeLimit 0 | Select-Object Name,@{n='MemberCount';e={ (Get-QADGroupMember $_ -SizeLimit 0 | Measure-Object).Count}},@{n='MemberOfCount';e={ ((Get-QADGroup $_).MemberOf | Measure-Object).Count}}

    Si quelqu'un a une meilleure façon de le faire, ne le dis.

    OriginalL'auteur Kirk