Antes de mais nada, o cmdlet Get-QADUser não é um cmdlet nativo e precisa de um pacote chamado ActiveRoles Management Shell for Active Directory da Quest, adquirida pela DELL, para ser possível utilizá-lo, tal como outros cmdlets desta suite.
Instale o pacote ActiveRoles Management Shell for Active Directory 1.7 disponível em
https://support.software.dell.com/pt-br/download-install-detail/5024645, abra o console disponível em "All Programs > Quest Software" e execute o script abaixo adaptando a sua necessidade:
Foreach ($User in (Get-QADUser -SearchRoot 'OU=Users,OU=BRA,DC=NoSafeForWork,DC=local'))
{
(Get-QADUser $User).MemberOf | Get-QADGroup | Where {$_.Name -ne "Domain Users"} | Remove-QADGroupMember -Member $User
}
Explicando:
Foreach ($User in (Get-QADUser -SearchRoot OU=Users,OU=BRA,DC=NoSafeForWork,DC=local))
Procura todas as contas de usuários que estão localizadas na OU=Users,OU=BRA,DC=NoSafeForWork,DC=local e armazena cada conta encontrada na variável $User.
(Get-QADUser $User).MemberOf
Obtem todos os grupos que a conta de usuário armazenada na variável $User é membro.
Get-QADGroup | Where {$_.Name -ne "Domain Users"}
Implicitamente recebe o resultado do comando anterior para procurar o nome dos grupos em todo o domínio que não seja o grupo "Domain User".
Remove-QADGroupMember -Member $User
Implicitamente recebe o resultado do comando anterior se o grupo for encontrado e remove o usuário armazenado na variável $User do grupo.
That's it!
