beim Versuch die Primary Group eines Users zu löschen, läuft der Befehl zwangsläufig in einen Fehler. „The user cannot be removed from a group because the group is currently the user’s primary group“ . Jeder User muss by Design im Besitz einer Primary Group sein, weshalb nur die Möglichkeit bleibt, eine andere Gruppe als primäre zu setzen.
Nils Kaczenski hat hierzu einen sehr guten Artikel verfasst; Die Primary Group in Active Directory
Der User wird aus der standard Gruppe „Domain Users“ entfernt. Dazu wird er Mitglied einer zweiten Gruppe, die zu seiner primary group geändert wird.
1. Gruppe „FGPP_802.1x_MAB_Users“ wird dem User „ABCDEF123456789“ hinzugefügt
1
2
3
|
Add-ADGroupMember -Identity FGPP_802.1x_MAB_Users -Members ABCDEF123456789 -ErrorAction SilentlyContinue
|
2. Auslesen der PrimaryGroupID des Users (Domain Users entspricht immer 513)
1
2
3
|
get-aduser ABCDEF123456789 -Properties PrimaryGroupID
|
3. Bei der Gruppe heist das Attribut PrimaryGroupToken, und entspricht dem RID (relative identifier) der SID
1
2
3
4
5
|
Get-ADGroup "domain users" -Properties PrimaryGroupToken
PrimaryGroupToken : 513
|
4. Das selbe wird bei der Gruppe ausgelesen, die als primary group gesetzt werden soll
1
2
3
4
5
|
PS C:\Windows\system32> Get-ADGroup FGPP_802.1x_MAB_Users -Properties PrimaryGroupToken
PrimaryGroupToken : 1728
|
5. mit set-aduser wird dem user die PrimaryGroupID 1728 zugewiesen
1
2
3
4
5
|
Set-aduser -identity ABCDEF123456789 -Replace @{PrimaryGroupID="1728"}
Get-aduser ABCDEF123456789 -Properties PrimaryGroupID
|
6. die Gruppe „domain users“ wird entfernt
1
2
3
|
remove-adgroupmember -identity "domain users" -members ABCDEF123456789 -confirm:$false
|
This was the only article I could find that actually worked. Thank you so much!!