我们为 Websense 过滤设置的 AD 组在策略管理方面几乎没有灵活性。只有两个“允许所有”Web 浏览类别的组。现在我需要创建 20 多个组,并将用户添加到人力资源部提供给我的他们自己的部门组中。这是最简单的部分。但我需要从他们的旧组中删除这些用户,并确保没有多个 websense 归属组成员身份。
我无法简单地删除旧的组,因为那里有很多用户被赋予了 Internet 权限,并且不是 HR 提供给我的部分列表中的成员,这是由于公司结构奇怪造成的。
我根本不是一个 AD 管理员,但你知道这句话“总得有人去做”:)
如能提供脚本方面的帮助将不胜感激!
答案1
您可以使用 PowerShell 实现此目的。首先,您需要查找同时属于新组和旧组的用户,然后需要将他们从旧组中删除:
Import-Module ActiveDirectory
$group1 = Get-ADGroup "group1"
$group2 = Get-ADGroup "group2"
$UsersToRemove = Get-ADUser -Filter { (memberof -RecursiveMatch $group1) -and (memberof -RecursiveMatch $group2) }
Remove-ADGroupMember -Identity "group1" -Members $UsersToRemove