Microsoft Active Directory rappresenta il nodo centrale per l'amministrazione, l'autorizzazione e l'autenticazione. Per semplificare la gestione degli accessi e migliorare la sicurezza, nelle aziende di medie e grandi dimensioni, spesso vengono utilizzati i gruppi di sicurezza di Active Directory che possono contenere account utente, account computer e altri gruppi. Anche i gruppi di distribuzione vengono utilizzati altrettanto spesso.
Per maggiori informazioni sui gruppi rimando all'articolo Windows Server 2019: Creazione gruppi in Active Directory in cui è stato anche illustrato il cmdlet New-ADGroup.
Entrambi i tipi di gruppi possono essere gestisti tramite PowerShell utilizzando il modulo Active Directory che fu introdotto a partire da Windows Server 2008 R2 ed è abilitato di default in Windows Server 2012 e successivi. Per visualizzare l'elenco completo dei cmdlet contenuti all'interno del modulo Active Directory è possibile eseguire il comando
Get-Command -Module ActiveDirectory
L'elenco comprende 147 cmdlet ma solo 11 sono relativi ai gruppi di Active Directory:
Add-ADGroupMember
Add-ADPrincipalGroupMembership
Get-ADAccountAuthorizationGroup
Get-ADGroup
Get-ADGroupMember
Get-ADPrincipalGroupMembership
New-ADGroup
Remove-ADGroup
Remove-ADGroupMember
Remove-ADPrincipalGroupMembership
Set-ADGroup
In questo articolo vedremo come rimuovere un gruppo Active Directory utilizzando il cmdlet Remove-ADGroup. Per visualizzare la sua sintassi eseguire il comando
Get-Command Remove-ADGroup –Syntax
Sintassi
Remove-ADGroup
[-WhatIf]
[-Confirm]
[-AuthType <ADAuthType>]
[-Credential <PSCredential>]
[-Identity] <ADGroup>
[-Partition <String>]
[-Server <String>]
[<CommonParameters>]
Parametri
-AuthType
Specifica il metodo di autenticazione. I valori accettati dal parametro sono:
- Negotiate oppure 0 (default)
- Basic oppure 1
-Confirm
Se specificato, tale parametro mostra la richiesta di conferma prima di eseguire il cmdlet.
-Credential
Specifica le credenziali dell'account utente con cui eseguire il comando. Se omesso viene considerato l'utente corrente che sta eseguendo il comando. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.
-Identity
Tale parametro specifica l'oggetto gruppo Active Directory su cui si desidera intervenire. Al parametro può essere passato un qualsiasi valore che identifica il gruppo in maniera univoca come:
Distinguished name
GUID (objectGUID)
Security identifier (objectSid)
Security Account Manager account name (sAMAccountName)
-Partition
A tale parametro va passato il Distinguished Name (DN) di una partizione di Active Directory. Il cmdlet utilizzerà tale partizione per ricercare l'oggetto specificato dal parametro Identity.
-Server
Permette di specificare l'istanza di Active Directory Domain Services a cui connettersi per la rimozione del gruppo.
-WhatIf
Mostra cosa accadrebbe se venisse eseguito il cmdlet. Il cmdlet non viene eseguito.
Rimuovere un gruppo Active Directory
Per rimuovere un gruppo Active Directory basta semplicemente eseguire il comando
Remove-ADGroup -Identity Gruppo1
dove al posto di Gruppo1 va specificato il nome del gruppo
Se vogliamo cancellare tutti i gruppi Active Directory i cui nomi iniziano per Gruppo possiamo eseguire
Get-ADGroup -Filter 'Name -like "Gruppo*"' | Remove-ADGroup