есть мнение, что если засунуть вывод первой команды в переменную и от переменной уже танцевать дальше, то прокатит:
$users = Get-ADUser -Filter 'Enabled -eq "False"' -SearchBase "DC=domen,DC=local" -Properties PrimaryGroup,MemberOf
$users | ForEach-Object {
#If User Primary Group is not Domain Users, then Set Domain User as Primary Group.
If ($_.PrimaryGroup -notmatch "Domain Users"){
Set-aduser -Identity $_ -Replace @{PrimaryGroupID = $Token } -Verbose
} #If
#If User is a member of more than 1 Group. Remove All Group except Domain Users.
If ($_.memberof) {
$Group = Get-ADPrincipalGroupMembership -Identity $_ | Where-Object {$_.Name -ne 'Domain Users'}
Remove-ADPrincipalGroupMembership -Identity $_ -MemberOf $Group -Confirm:$false -Verbose
} #If
}
либо нужно менять какую-то опцию в АД вебсервисе, чего микрософт не рекомендует делать.