许多组织面临的一个挑战是其 Active Directory 域服务（AD DS）域中的组激增，尤其是安全组。 组织可能会为项目创建安全组，但它们在一段时间内不再需要。 这些组可能在域中无人维护。

组清理可减轻管理负担和风险，并防止将未使用的组同步到 Microsoft Entra。 本文概述了如何分析组并使用 尖叫测试 方法识别和删除 AD DS 域中未使用的组。 在尖叫测试中，管理员标识可能不再需要的资源，暂时使该资源不可用，并等待查看是否有人通知管理员他们受到影响。 如果没有任何受影响的人的报告，管理员将继续清理资源。

首先，确定每个组是否需要使用基于 AD DS 的管理工具（例如 Active Directory 用户和计算机）进行管理，还是使用 Microsoft Entra 管理中心或 Exchange Online 在云中管理，或者可能不需要。 在某些情况下，声测表明一个组仍然是必需的，并且需要决定是在 Microsoft Entra ID 还是 AD DS 域中管理该组。 如果该组可能不需要，您可以运行多次尖叫测试以确定它是否活跃。 如果不再处于活动状态，可以从 AD DS 域将其删除。

清理范围内的组类型

AD DS 拓扑中的安全和通讯组列表（DL）组，具有单个林、单个域。 多林或多域环境、工作组、已加入域的计算机上的本地组或其他环境不在本文的范围内。

具有用户或其他组的成员的组，这些组在同步到 Microsoft Entra 的范围内。 包含作为成员的计算机、联系人或其他对象的组不在本文的范围内。

使用 Active Directory 用户和计算机、 Microsoft标识管理器（MIM）或其他标识管理工具在 AD DS 中创建的组。 本文不介绍系统内置的组或由其他产品创建的组。

先决条件

必须先完成这些先决条件，然后才能开始使用此方法删除未使用的组：

需要域管理员组中的成员身份或类似权限才能更新、移动和删除组。

需要能够更改 Microsoft Entra Connect Sync 或 Cloud Sync 的范围，以包含或排除组。

需要为所有可写域控制器创建组策略对象（GPO），以便记录 AD DS 对象修改，并为收集的日志设置中央存储库。 有关详细信息，请参见:

为 Windows 事件日志配置审核策略

事件 5136：修改了目录服务对象

使用 Azure Monitor 从虚拟机收集 Windows 事件

需要 启用 Active Directory 回收站。

你需要在域中创建两个组织单位（OU），一个用于临时 Kerberos 应用尖叫测试组，另一个用于临时轻型目录访问协议 （LDAP） 应用尖叫测试组。

针对域进行群组分析

组分析的目标是查看并确认域中哪些组是：

AD DS 集成应用程序和通过使用 AD DS 集成工具进行管理所必需的。

AD DS 集成的应用程序需要由 Microsoft Entra 或 Exchange Online 管理，并将成员身份重新写入 Microsoft Entra。

AD DS 域中可能不再需要，但在连接到 Microsoft Entra 的服务中需要，并且只能在 Microsoft Entra 中维护。

与 AD DS 或 Microsoft Entra 集成的任何应用程序都不需要。

第一步是识别和分类需要分类处理的域中的组。 对于拥有数千个组的大型组织，需要选择一个顺序来评估组。 顺序可以基于以下因素：

组类型（安全组、启用邮件的安全组或通讯组列表）

组组织单位（OU）

组大小和成员身份

组嵌套（组是 AD DS 域中另一个组的成员）

选择要分析的合理大小的非审判组。 根据每个组的类型，请参阅后续部分，了解分析这些组是否存在潜在清理的步骤：

通讯组列表或启用邮件的安全组的分析

安全组分析

对该批执行其中一项分析后，请继续执行下一批未审判组。 分析所有组后，尖叫测试完成。

通讯组列表或启用邮件的安全组的分析

查看是否为 Exchange 或 Exchange Online 中的组设置了所有者。 请联系组的所有者，以确定是否仍需要该组。

查看组是否具有成员。 如果没有成员，请转到云尖叫测试。

搜索 Exchange 或 Exchange Online 日志，查看邮件是否已发送到组。 可以使用 Get-MessageTrackingLog 来搜索和分析日志。 邮件发送后，说明该组可能仍在使用中。 请联系这些邮件的发件人以确定组的用途。

查看组成员是否包括未同步到 Microsoft Entra 的任何用户、联系人或组。 如果组包含未同步的成员，则其组类型不会更新为 Microsoft 365 组或 Exchange Online DL。

对 Kerberos 和后续测试执行尖叫测试。 完成操作后：

如果仍需要该组，请使用本地 Exchange 在域中维护该组，或者将其替换为 Exchange Online DL 或 Microsoft 365 组。

如果不需要该组，请将其从域中删除。

如果组是 DL，则即使该组的成员位于 Microsoft Entra 中，也不能将“颁发机构源”（SOA）组转换为Microsoft Entra。 应 针对云使用情况 和后续测试执行尖叫测试。 完成后，选项为：

如果仍然需要该组，请将其替换为 Exchange Online DL 或 Microsoft 365 组。

如果不需要该组，请将其从 AD DS 域中删除，并且不要替换它。

请与 Exchange 管理员联系，确定要继续执行的选项。

如果该组是启用邮件的安全组（MESG），则无法将组的 SOA 转换。

针对云使用情况和后续测试执行尖叫测试。 完成后，选项为：

替换为Microsoft 365 组。

创建单独的 DL 和安全组，并分别处理每个组。

更新组类型，使其可以是安全组，要么是 DL，而不是 MESG。

从 AD DS 域中删除该组，但不替换它。

请与 Exchange 管理员联系，确定是否仍需要该组才能用于 Exchange 目的。 如果仍需要 Exchange 组，请将其替换为 Microsoft 365 组，或创建单独的 DL 和安全组，并单独处理每个组。 否则，假设该组仅需用作安全组，或者不再需要该组，然后继续对安全组进行分析。

安全组分析

查看组成员。 如果该组没有成员，请继续 尖叫测试云使用情况。 查看下表中有关其他成员对象类型的建议。

成员对象类型

建议

一台或多台计算机

组可能用于组策略或 System Center 管理。 请联系 Windows Server 和 System Center 管理员来确定其为此组的计划。 你可以用 Azure 或 Intune 的新方案来替换它。

一个或多个联系人

如果组是 MESG，则无法使用这些联系人对 Microsoft Entra 进行身份验证。 如果计划将组转换为不支持邮件功能，请先将其从组中删除。

一个或多个用户或组未同步到 Microsoft Entra（从同步范围中排除）

该组不应更改其权限来源。

同步到 Microsoft Entra 的用户和组

计划 对云使用情况执行尖叫测试。

查找组的更改日期。 如果最近修改了组，请检查日志以确定谁修改了组。 修改组的用户的安全标识符（SID）包含在 事件 5136 的主题字段中。 请联系他们以确定组的用途，以及是否可以将其更新到云安全组。

否则，如果该组最近没有被修改，请使用 Get-Acl 检查组或其 OU 上的访问控制列表（ACL）是否委托了该组的所有权。 如果 ACL 将所有权委托给其他人，请联系所有者以确定组的用途。

否则，请检查另一个组是否将此组作为成员，该组是否具有已标识的所有者。 如果是，请联系该组的所有者。

如果所有组成员都是同步到 Microsoft Entra 的用户和组，并且该组没有最近的更改，没有明确的所有者，它不是另一个组的依赖项，则继续下一部分执行 云使用情况尖叫测试。

否则，如果组具有未Microsoft Entra 帐户的用户或组成员，并且不是内置组，则继续 对 Kerberos 应用进行尖叫测试。

对要分析的组启动这些尖叫测试后，请继续批处理中的下一个组。

云使用情况尖叫测试

此测试用于确定组中是否有用于云资源的用户，包括在 Azure 订阅中的特权角色。

首先，在 Microsoft Entra 中检查是否有对该组的引用：

从应用角色

从条件访问策略

在另一个云组中

在 Privileged Identity Management 中

在生命周期工作流中，访问评审或授权管理

如果是这样，请与该资源或服务的管理员联系，以确定如何使用该组，以及是否可以将其替换为云安全组。

查看 Azure 订阅、资源组或资源中的 Azure 角色是否引用了该组。 如果是，请联系该 Azure 订阅的所有者。

与 Exchange、SharePoint、Intune、Azure 和其他管理员交谈，以确定是否需要组才能管理其服务。

在 Microsoft Online Services 中与其他应用程序的管理员交谈，以确定他们是否使用该组。

确定 Microsoft Online Services 中没有明显使用该组之后，可能存在其他未明显显现的服务。 若要检测是否有其他服务，请转到下面的尖叫测试步骤。

更改云同步或连接同步配置，以排除该组的同步。

等待同步完成并确认该组在 Microsoft Entra 中不再可见。

请等待几天，以确定任何用户是否抱怨该组不可用。 例如，查看是否有人打开 IT 支持人员的支持票证。

如果有投诉，请取消对该组的排除。 确定依赖于该组的团队，并确定将来迁移团队以使用云托管组的计划。

如果没有关于该组在 Microsoft Entra 中不再可用的投诉，请转到下一部分，即 Kerberos 应用的尖叫测试。

Kerberos 应用的尖叫测试

此测试确定是否存在依赖于用户作为安全组成员的应用，其中 AD DS 向应用提供 Kerberos 票证，其中包含此组的组 ID 或包含该组的另一个组。

若要执行 Kerberos 尖叫测试，请执行以下步骤：

将该组移动到用于 Kerberos 尖叫测试的组的 OU。

将组类型更新为 DL，以便该组不再包含在 Kerberos 令牌中。 或者，删除成员。 例如，暂时将成员移动到另一个新的 DL 组。

请等待几天，以确定任何用户是否抱怨该组不可用。 例如，查看是否有人打开 IT 支持人员的支持票证。

如果有投诉，请将组类型更改回安全组或添加回成员。 然后确定依赖于该组的团队。

如果没有投诉，请转到下一部分，针对 LDAP 应用的尖叫测试。

LDAP 应用的尖叫测试

此测试确定是否存在依赖于用户作为安全组成员的 LDAP 应用。

将组移动到 LDAP 尖叫测试中的组的 OU。

从组中删除成员。 例如，暂时将成员移动到另一个新组。

请等待几天，以确定任何用户是否抱怨该组不可用。 例如，查看是否有人打开 IT 支持人员的支持票证。

如果有投诉，请恢复该群组的成员身份，并将其移回其原始 OU。 确定依赖这个组的团队。

如果没有投诉，请删除该组。 已删除的组将转到 Active Directory 回收站。

相关内容

群组 SOA 概述

如何配置组 SOA