Monat: Januar 2026

Oftmals werden bei Offboarding-Prozessen die Nutzer lediglich deaktiviert (vorübergehend), bevor sie endgültig gelöscht werden. Aus Sicherheitsgründen bietet es sich daher an, alle AD-Gruppenzugehörigkeiten in einem Rutsch zu entfernen. Dazu kann folgendes Script dienen:

# Name des betroffenen Benutzers
$sAMAccountName = "user-xyz"

# Importiere das AD-Modul (falls nicht bereits geladen)
Import-Module ActiveDirectory

try {
    # Hole den Benutzer und seine Gruppen (DistinguishedNames)
    $user = Get-ADUser -Identity $sAMAccountName -Properties MemberOf
    
    # Filtere die Gruppen: Wir ignorieren die "Domain Users" Gruppe automatisch,
    # da diese als 'PrimaryGroup' im AD anders gehandhabt wird und nicht im Attribut 'MemberOf' steht.
    $groups = $user.MemberOf

    if ($groups) {
        #Write-Host "Entferne $($groups.Count) Gruppen von Benutzer $sAMAccountName..." -ForegroundColor Cyan
        
        # Entferne den Benutzer aus allen gefundenen Gruppen
        # -Confirm:$false unterdrückt die Bestätigungsaufforderung für jede einzelne Gruppe
        Remove-ADPrincipalGroupMembership -Identity $sAMAccountName -MemberOf $groups -Confirm:$false
        
        #Write-Host "Erfolgreich: Alle Gruppen außer 'Domänen-Benutzer' wurden entfernt." -ForegroundColor Green
    } else {
        #Write-Host "Der Benutzer ist bereits in keiner weiteren Gruppe außer 'Domänen-Benutzer'." -ForegroundColor Yellow
    }
} catch {
    #Write-Error "Fehler beim Bearbeiten des Benutzers $sAMAccountName: $($_.Exception.Message)"
}