Leere Active Directory-Objekte (Gruppen) sollten gefunden und gelöscht werden. Der Grund ist, weil sie unnötigen Speicherplatz beanspruchen, die Sicherheit gefährden und die Verwaltung erschweren können. Ein aufgeräumtes Active Directory funktioniert schneller und sicherer.
Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select Name
Das Cmdlet Get-ADGroup ruft eine Gruppe ab oder führt eine Suche durch, um ein oder mehrere Gruppen aus einem Active Directory abzurufen.
Der Parameter Identity gibt die abzurufende Active Directory-Gruppe an. Sie können eine Gruppe anhand des Distinguished Name (DN), ihrer GUID, ihrer Sicherheitskennung (SID) oder ihres Kontonamens (Security Accounts Manager, SAM) identifizieren.
Um mehr als eine Gruppe zu suchen und anzuzeigen, gibt es die LDAP-Filter-Parameter. Der Parameter Filter verwendet die PowerShell Expression Language, um Abfragezeichenfolgen für Active Directory zu schreiben.
Hier in dem Beispiel erfolgt ein Ausschluss für Gruppen die keine Mitglieder enthalten. Der Anwendungszweck wäre z.B. die Vorbereitung einer Bereinigung an AD Objekten.