Active Directory Gruppen sind ein wichtiger Bestandteil eines jedes Netzwerkes. In der Regel werden AD Gruppen z.B. zum Steuern von Zugriffsberechtigungen oder Druckerzuweisungen verwendet.

Je größer das Netzwerk ist, desto unübersichtlicher wird es und deswegen sollte des öfteren geprüft werden, welche AD Gruppen keine Mitglieder haben. Damit können z.B. Fehler in der Gruppenvergabe auch ausgeschlossen werden oder es können die leeren AD Gruppen unter bestimmten Umständen auch gelöscht werden.

Um leere AD Gruppen ohne Mitglieder bzw. Member herauszubekommen, eignet sich die PowerShell Konsole hervorragend. Wir haben vor einigen Monaten schon einmal darüber berichtet, wie Ihr die Mitglieder einer AD Gruppe auflisten könnt, heute möchten wir Euch zeigen, wie Ihr AD Gruppen ohne Mitglieder findet.

Bevor Ihr das folgende PowerShell Script ausführen könnt, müsst Ihr das Active-Directory Module in die PowerShell Konsole integrieren. Dies funktioniert mit dem folgenden Befehl.

import-module activedirectory

Mit dem anschließenden Befehl könnt Ihr euch nun die Liste der leeren Active-Directory Gruppen ausgeben lassen.

Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select Name

Wir haben Euch den Vorgang hier nachfolgend einmal exemplarisch abgebildet.

GET-ADGroup AD-Gruppen ohne Mitglieder

Wie Ihr seht, wurden in unserem Beispiel Active-Directory insgesamt 9 AD-Gruppen gefunden, die keine Mitglieder haben.

Da diese Liste bei größeren Active Directory Umgebungen sehr umfangreich sein kann, könnt Ihr diese Ausgabeliste über die Zugabe des Parameters „>Laufwerk:\Verzeichnis\Dateiname.txt“ in eine Textdatei ausgeben und diese anschließend weiterverarbeiten. Der komplette PowerShell Befehl lautet dann.

Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select Name >Laufwerk:\Verzeichnis\Dateiname.txt

Abschließend haben wir Euch hier noch weitere, nützliche PowerShell Befehl für das Active Directory aufgeführt.

– Computer Konten im AD feststellen, die sich schon lange nicht mehr gemeldet haben
– Anzahl der AD (Active Directory) Objekte zählen per PowerShell
– LastLogon (Letzter Login) eines Users im AD feststellen per Get-ADUser
– AD Userkonten auflisten die einen Profilpfad eingetragen haben
– Benutzerkonto deaktivieren unter Windows 10
– Feststellen, welcher AD User sich noch nie angemeldet hat
– Liste aller XP PC´s im AD (Active Directory) erstellen
– Per PowerShell alle deaktivierten AD Konten auflisten
– Liste der Homeverzeichnisse, des Home-Laufwerkes und des Profilpfades aller AD-User erstellen
– Liste der User die sich in den letzten „x“ Tagen am AD angemeldet haben
– Liste aller AD User incl. E-Mailadresse ausgeben