【AD】ユーザが所属するグループを抜くには？

windows server 2008 r2で質問します。

現在、ドメインに参加していた無効化したユーザが大量にいます。
そのユーザ達のグループを『Domain Users』のみにしたいと思います。

GUIで１件１件対応するのは、大変なのでコマンドで実行しようと思うのですが、
どのようなコマンドを発行すればよろしいでしょうか。

ご存知の方がいましたら、教えて頂けませんでしょうか。

maesen 回答No.1

グループのメンバシップは、グループ側で削除しないといけないのでユーザーを基準にするとちょっと手間が必要です。

GUIでのイメージのような、ユーザーの所属グループの情報（MemberOf属性）を操作して所属グループから抜くことは直接出来ません。

そのため、MemberOf属性で示されているグループを取得し、そのグループのメンバからユーザーを削除する形になります。

PowerShellにて１ユーザー（userxxx）の所属グループを全て削除するサンプルを参考に記載します。
サンプルは検証していませんので扱いは注意して下さい。

$a = Get-ADUser userxxx -Properties memberof
$a.memberof | foreach { Remove-ADGroupMember $_ userxxx }

一般ユーザーはプライマリグループがDomain Usersになっているはずです。
MemberOf属性にはプライマリグループは載らないので１ユーザーだけならばこれで要件を満たすと思います。
プライマリグループを変更していたらもう少し手を加える必要があるでしょう。

対象ユーザーがどのようにグルーピングされるのかが不明なので、複数の場合は書けませんが応用でいけると思います。

所属するグループが既に分かっていて、そのメンバから単純にユーザーを削除するだけならばもっと簡単なのですが。
所属するグループが少なければこちらの方法でできないか検討したほうがいいかもです。