Administration von AppStream-2.0-Active-Directory - Amazon AppStream 2.0

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Administration von AppStream-2.0-Active-Directory

Für die Einrichtung und Verwendung von Active Directory mit AppStream 2.0 sind die folgenden administrativen Aufgaben erforderlich.

Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten

Um die Ausführung von AppStream-2.0-Active-Directory-Operationen zu ermöglichen, brauchen Sie ein Konto mit entsprechenden Berechtigungen. Als bewährte Methode empfehlen wir Ihnen, ein Konto zu verwenden, das nur die mindestens erforderlichen Berechtigungen hat. Die Mindestberechtigungen für eine Active Directory-Organisationseinheit (OU) sind:

  • Ein Computerobjekt erstellen

  • Passwort ändern

  • Passwort zurücksetzen

  • Beschreibung schreiben

Bevor Sie Berechtigungen einrichten, müssen Sie die folgenden Schritte ausführen:

  • Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.

  • Installieren des MMC-Snap-ins Active Directory-Benutzer und -Computer. Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.

  • Melden Sie sich als Domänen-Benutzer mit den entsprechenden Berechtigungen an, um die Sicherheitseinstellungen der OU zu ändern.

  • Erstellen oder identifizieren Sie den Benutzer, das Service-Konto oder die Gruppe, für die Berechtigungen delegiert werden sollen.

Einrichten von Mindest-Berechtigungen
  1. Öffnen Sie Active Directory-Benutzer und -Computer in Ihrer Domäne oder auf Ihrem Domänencontroller.

  2. Wählen Sie im linken Navigationsbereich die erste Organisationseinheit aus, für die Berechtigungen zur Verbindung mit der Domäne bereitgestellt werden sollen, öffnen Sie das Kontextmenü (rechte Maustaste) und wählen Sie Kontrolle delegieren aus.

  3. Klicken Sie auf der Seite Assistent für die Delegation der Kontrolle Weiter, Hinzufügen.

  4. Für Benutzer, Computer oder Gruppen auswählen wählen Sie den zuvor erstellten Benutzer, das Servicekonto oder die Gruppe aus und klicken dann auf OK.

  5. Wählen Sie auf der Seite Zu delegierende Aufgabe die Option Eine zu delegierende benutzerdefinierte Aufgabe erstellen aus und klicken Sie auf Weiter.

  6. Wählen Sie Nur die folgenden Objekte in dem Ordner, Computerobjekte.

  7. Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen, Weiter.

  8. Wählen Sie für Berechtigungen Lesen, Schreiben, Kennwort ändern, Passwort zurücksetzen, Weiter.

  9. Überprüfen Sie auf der Seite Den Assistenten für die Delegation der Kontrolle abschließen die Informationen und wählen Sie Fertigstellen.

  10. Wiederholen Sie die Schritte 2-9 für alle weiteren OUs, die diese Berechtigungen benötigen.

Wenn Sie Berechtigungen an eine Gruppe delegieren, erstellen Sie ein Benutzer- oder Service-Konto mit einem sicheren Kennwort und fügen dieses Konto der Gruppe hinzu. Dieses Konto hat dann alle nötigen Berechtigungen, um Ihre Streaming-Instances mit dem Directory zu verbinden. Verwenden Sie dieses Konto, wenn Sie Ihre AppStream-2.0-Directory-Konfiguration erstellen.

Den spezifischen Namen der Organisationseinheit finden

Wenn Sie AppStream 2.0 verwenden, um Ihre Active-Directory-Domain zu registrieren, ist der spezifische Name für die Organisationseinheit (OU) erforderlich. Erstellen Sie eine OU für diesen Zweck. Der Container des Standardcomputers ist keine OU und kann nicht von AppStream 2.0 verwendet werden. Das folgende Verfahren zeigt, wie dieser Name ermittelt wird.

Anmerkung

Der spezifische Name muss mit OU= beginnen oder nicht für Computerobjekte verwendet werden.

Bevor Sie dieses Verfahren abschließen, müssen Sie die folgenden Schritte ausführen:

  • Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.

  • Installieren des MMC-Snap-ins Active Directory-Benutzer und -Computer. Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.

  • Melden Sie sich als Domänen-Benutzer mit den entsprechenden Berechtigungen an, um die Sicherheitseigenschaften der OU zu lesen.

So finden Sie den spezifischen Namen einer OU
  1. Öffnen Sie Active Directory-Benutzer und -Computer in Ihrer Domäne oder auf Ihrem Domänencontroller.

  2. Stellen Sie unter Ansicht sicher, dass Erweiterte Funktionen aktiviert ist.

  3. Wählen Sie im linken Navigationsbereich die erste Organisationseinheit für AppStream-2.0-Streaming-Instance-Computerobjekte aus, öffnen Sie das Kontextmenü (rechte Maustaste) und wählen Sie Eigenschaften aus.

  4. Wählen Sie Attribut-Editor.

  5. Wählen Sie unter Attribute für distinguishedName Ansicht .

  6. Wählen Sie für Wert den spezifischen Namen aus. Öffnen Sie das Kontextmenü und wählen Sie Kopieren aus.

Gewähren von lokalen Administratorrechten für Image Builder

Standardmäßig haben Active Directory-Domänenbenutzer keine lokalen Administratorrechte für Image-Builder-Instances. Sie können diese Rechte mithilfe von Gruppenrichtlinienpräferenzen in Ihrem Directory oder manuell über das lokale Administratorkonto eines Image Builder bereitstellen. Mit lokalen Administratorrechten kann ein Domainbenutzer Anwendungen in einem AppStream-2.0-Image-Builder installieren und Abbilder erstellen.

Verwenden von Gruppenrichtlinienpräferenzen

Sie können Gruppenrichtlinienpräferenzen verwenden, um Active Directory-Benutzern oder -Gruppen lokale Administratorrechte sowie allen Computerobjekten in der angegebenen Organisationseinheit zuzuweisen. Die Active Directory-Benutzer oder -Gruppen, denen Sie lokale Administratorberechtigungen erteilen möchten, müssen bereits vorhanden sein. Um Gruppenrichtlinienpräferenzen zu verwenden, müssen Sie zunächst die folgenden Aufgaben ausführen:

  • Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.

  • Installieren Sie das MMC-Snap-in für die Group Policy Management Console (GPMC). Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.

  • Melden Sie sich als Domänenbenutzer mit Berechtigungen zum Erstellen von Gruppenrichtlinienobjekten (GPOs) an. Verknüpfen Sie GPOs mit den entsprechenden Organisationseinheiten.

So verwenden Sie Gruppenrichtlinienpräferenzen zum Gewähren lokaler Administratorberechtigungen
  1. Öffnen Sie in Ihrem Verzeichnis oder auf einem Domänencontroller die Eingabeaufforderung als Administrator. Geben Sie gpmc.msc ein und drücken Sie die EINGABETASTE.

  2. Wählen Sie in der linken Konsolenstruktur die Organisationseinheit aus, in der Sie ein neues Gruppenrichtlinienobjekt erstellen möchten, oder verwenden Sie ein vorhandenes Gruppenrichtlinienobjekt, und führen Sie dann einen der folgenden Schritte aus:

    • Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie das Kontextmenü (rechter Mausklick) öffnen und Ein GPO in dieser Domäne erstellen, Hier verknüpfen auswählen. Geben Sie für Name einen aussagekräftigen Namen für dieses GPO an.

    • Wählen Sie ein vorhandenes Gruppenrichtlinienobjekt aus.

  3. Öffnen Sie das Kontextmenü für das GPO und wählen Sie Bearbeiten aus.

  4. Wählen Sie in der Konsolenstruktur auf der linken Seite Computerkonfiguration, Einstellungen, Windows-Einstellungen, Systemsteuerungseinstellungen und Lokale Benutzer und Gruppen aus.

  5. Wählen Sie Lokale Benutzer und Gruppen aus, öffnen Sie das Kontextmenü (rechte Maustaste) und klicken Sie auf Neu und Lokale Gruppe.

  6. Wählen Sie für Aktion Aktualisieren.

  7. Für Gruppenname wählen Sie Administratoren (built-in).

  8. Wählen Sie unter Mitglieder Hinzufügen..., und geben Sie die Active-Directory-Benutzer oder -Gruppen an, denen lokale Administratorrechte auf der Streaming-Instance zugewiesen werden sollen. Für Aktion, wählen Sie Dieser Gruppe hinzufügen, und wählen dann OK.

  9. Um dieses Gruppenrichtlinienobjekt auf andere Organisationseinheiten anzuwenden, wählen Sie die zusätzliche Organisationseinheit aus, öffnen das Kontextmenü und wählen Vorhandenes Gruppenrichtlinienobjekt verknüpfen aus.

  10. Suchen Sie anhand des neuen oder vorhandenen GPO-Namens, den Sie in Schritt 2 festgelegt haben, das Gruppenrichtlinienobjekt und klicken Sie auf OK.

  11. Wiederholen Sie die Schritte 9 und 10 für zusätzliche Organisationseinheiten, die diese Präferenz verwenden sollen.

  12. Klicken Sie auf OK, um das Dialogfeld Neue lokale Gruppeneigenschaften zu schließen.

  13. Klicken Sie erneut auf OK, um die GPMC zu schließen.

Um die neue Präferenz für das Gruppenrichtlinienobjekt zu übernehmen, müssen Sie alle laufenden Image Builder oder Flotten anhalten und neu starten. Die Active Directory-Benutzer und -Gruppen, die Sie in Schritt 8 angegeben haben, erhalten automatisch lokale Administratorrechte für die Image Builder und Flotten in der Organisationseinheit, mit der das Gruppenrichtlinienobjekt verknüpft ist.

Verwenden der lokalen Administratorgruppe im Image Builder

Zum Erteilen von lokalen Administratorrechten für Active Directory-Benutzer oder -Gruppen in Ihrem Image Builder können Sie diese Benutzer oder Gruppen der lokalen Administratorgruppe im Image Builder manuell hinzufügen. Image Builder, die aus Abbildern mit diesen Rechten erstellt werden, behalten die gleichen Rechte bei.

Die Active Directory-Benutzer oder -Gruppen, denen lokale Administratorberechtigungen erteilt werden solle, müssen bereits vorhanden sein.

So fügen Sie Active Directory-Benutzer oder -Gruppen der lokalen Administratorgruppe im Image Builder hinzu
  1. Öffnen Sie die AppStream-2.0-Konsole unter https://console.aws.amazon.com/appstream2.

  2. Stellen Sie im Administratormodus eine Verbindung zum Image Builder her. Der Image Builder muss ausgeführt werden und der Domäne angehören. Weitere Informationen finden Sie unter Tutorial: Einrichten von Active Directory.

  3. Wählen Sie Start, Verwaltung und doppelklicken Sie auf Computerverwaltung.

  4. Wählen Sie im linken Navigationsbereich Lokale Benutzer und Gruppen und öffnen Sie den Ordner Gruppen.

  5. Öffnen Sie die Gruppe Administratoren und wählen Sie Hinzufügen....

  6. Wählen Sie alle Active Directory-Benutzer oder -Gruppen, denen lokale Administratorberechtigungen zugewiesen werden sollen, und wählen Sie OK. Klicken Sie erneut auf OK, um das Dialogfeld Eigenschaften von Administrator zu schließen.

  7. Schließen Sie die Computerverwaltung.

  8. Um sich als Active Directory-Benutzer anzumelden und zu testen, ob dieser Benutzer über lokale Administratorrechte im Image Builder verfügt, wählen Sie Admin Commands (Administratorbefehle), Switch user (Benutzer wechseln) aus und geben Sie dann die Anmeldeinformationen des entsprechenden Benutzers ein.

Das für die Verbindung mit der Domäne verwendete Service-Konto aktualisieren

Um das Servicekonto zu aktualisieren, das AppStream 2.0 für die Verbindung mit der Domain verwendet, empfehlen wir die Verwendung von zwei separaten Servicekonten für die Verbindung Ihrer Image Builder und Flotten mit Ihrer Active-Directory-Domain. Die Verwendung von zwei separaten Servicekonten stellt sicher, dass keine Serviceunterbrechung stattfindet, wenn ein Dienstkonto aktualisiert werden muss, (z. B. wenn ein Passwort abläuft).

Ein Service-Konto aktualisieren
  1. Erstellen Sie eine Active Directory-Gruppe und delegieren die richtigen Berechtigungen an die Gruppe.

  2. Fügen Sie Ihre Service-Konten der neuen Active Directory-Gruppe hinzu.

  3. Bearbeiten Sie bei Bedarf Ihr AppStream-2.0-Directory-Konfigurationsobjekt, indem Sie die Anmeldeinformationen für das neue Servicekonto eingeben.

Nachdem Sie die Active Directory-Gruppe mit dem neuen Servicekonto eingerichtet haben, verwenden alle neuen Streaming-Instance-Operationen das neue Servicekonto, während laufende Streaming-Instance-Operationen das alte Konto ohne Unterbrechung weiter nutzen.

Die Service-Konto-Überlappung, bis die laufenden Streaming-Instance-Operationen abgeschlossen sind, ist sehr kurz und beträgt nicht mehr als einen Tag. Die Überlappungszeit ist erforderlich, da Sie das Passwort für das alte Service-Konto während des Überlappungszeitraums nicht löschen oder ändern sollten, sonst können vorhandene Vorgänge fehlschlagen.

Sperren der Streaming-Sitzung, wenn der Benutzer inaktiv ist

AppStream 2.0 benötigt eine Einstellung, die Sie in der GPMC konfigurieren, um die Streaming-Sitzung nach Ablauf des für den Benutzer angegebenen inaktiven Zeitraums zu sperren. Um die GPMC zu verwenden, müssen Sie zunächst die folgenden Aufgaben ausführen:

  • Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.

  • Installieren Sie die GPMC. Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.

  • Melden Sie sich als Domänenbenutzer mit Berechtigungen zum Erstellen von Gruppenrichtlinienobjekten an. Verknüpfen Sie GPOs mit den entsprechenden Organisationseinheiten.

Die Streaming-Instance automatisch sperren, wenn Ihr Benutzer inaktiv ist
  1. Öffnen Sie in Ihrem Verzeichnis oder auf einem Domänencontroller die Eingabeaufforderung als Administrator. Geben Sie gpmc.msc ein und drücken Sie die EINGABETASTE.

  2. Wählen Sie in der linken Konsolenstruktur die Organisationseinheit aus, in der Sie ein neues Gruppenrichtlinienobjekt erstellen möchten, oder verwenden Sie ein vorhandenes Gruppenrichtlinienobjekt, und führen Sie dann einen der folgenden Schritte aus:

    • Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie das Kontextmenü (rechter Mausklick) öffnen und Ein GPO in dieser Domäne erstellen, Hier verknüpfen auswählen. Geben Sie für Name einen aussagekräftigen Namen für dieses GPO an.

    • Wählen Sie ein vorhandenes Gruppenrichtlinienobjekt aus.

  3. Öffnen Sie das Kontextmenü für das GPO und wählen Sie Bearbeiten aus.

  4. Erweitern Sie unter Benutzerkonfiguration die Optionen Richtlinien, Administrative Vorlagen, Systemsteuerung und klicken Sie dann auf Personalisierung.

  5. Doppelklicken Sie auf Bildschirmschoner aktivieren.

  6. Wählen Sie für die Richtlinieneinstellung Bildschirmschoner aktivieren die Option Aktiviert aus.

  7. Wählen Sie Übernehmen und anschließend OK aus.

  8. Doppelklicken Sie auf Bestimmten Bildschirmschoner erzwingen.

  9. Wählen Sie für die Richtlinieneinstellung Bestimmten Bildschirmschoner erzwingen die Option Aktiviert aus.

  10. Geben Sie unter Programmname des Bildschirmschoners den Namen scrnsave.scr ein. Wenn diese Einstellung aktiviert ist, zeigt das System einen schwarzen Bildschirmschoner auf dem Desktop des Benutzers an.

  11. Wählen Sie Übernehmen und anschließend OK aus.

  12. Doppelklicken Sie auf Bildschirmschoner Kennwortschutz für den Bildschirmschoner verwenden.

  13. Wählen Sie für die Richtlinieneinstellung Kennwortschutz für den Bildschirmschoner verwenden die Option Aktiviert aus.

  14. Wählen Sie Übernehmen und anschließend OK aus.

  15. Doppelklicken Sie auf Zeitlimit für Bildschirmschoner.

  16. Wählen Sie für die Richtlinieneinstellung Zeitlimit für Bildschirmschoner die Option Aktiviert aus.

  17. Geben Sie im Feld Sekunden die Dauer ein, die der Benutzer inaktiv sein muss, bevor der Bildschirmschoner angewendet wird. Um den inaktiven Zeitraum auf 10 Minuten festzulegen, geben Sie 600 Sekunden ein.

  18. Wählen Sie Übernehmen und anschließend OK aus.

  19. Erweitern Sie in der Konsolenstruktur unter Benutzerkonfiguration die Optionen Richtlinien, Administrative Vorlagen, System und wählen Sie Strg+Alt+Entf-Optionen aus.

  20. Doppelklicken Sie auf Sperren des Computers entfernen.

  21. Wählen Sie in der Richtlinieneinstellung Sperren des Computers entfernen die Option Aktiviert aus.

  22. Wählen Sie Übernehmen und anschließend OK aus.

Die Directory-Konfiguration bearbeiten

Nachdem eine AppStream-2.0-Directory-Konfiguration erstellt wurde, können Sie sie bearbeiten, um Organisationseinheiten hinzuzufügen, zu entfernen oder zu ändern, den Benutzernamen des Service-Kontos zu aktualisieren oder das Passwort für das Service-Konto zu aktualisieren.

Eine Directory-Konfiguration aktualisieren
  1. Öffnen Sie die AppStream-2.0-Konsole unter https://console.aws.amazon.com/appstream2.

  2. Wählen Sie im linken Navigationsbereich Directory-Konfigurationen und wählen Sie das zu bearbeitende Directory aus.

  3. Wählen Sie Actions (Aktionen) und Edit (Bearbeiten).

  4. Aktualisieren Sie die zu ändernden Felder. Um zusätzliche OUs hinzuzufügen, wählen Sie das Pluszeichen (+) neben dem obersten OU-Feld aus. Um ein OU-Feld zu löschen, wählen Sie das x neben dem Feld.

    Anmerkung

    Es ist mindestens eine OU erforderlich. OUs, die aktuell benutzt werden, können nicht entfernt werden.

  5. Um Änderungen zu speichern, wählen Sie Directory-Konfiguration aktualisieren.

  6. Die Informationen auf der Registerkarte Details sollten jetzt aktualisiert werden, um die Änderungen zu reflektieren.

Änderungen an den Anmeldeinformationen des Servicekontos wirken sich nicht auf laufende Streaming-Instance-Operationen aus. Neue Streaming-Instance-Operationen verwenden die aktualisierten Anmeldeinformationen. Weitere Informationen finden Sie unter Das für die Verbindung mit der Domäne verwendete Service-Konto aktualisieren.

Eine Directory-Konfiguration löschen

Sie können eine AppStream-2.0-Directory-Konfiguration löschen, die nicht mehr benötigt wird. Directory-Konfigurationen, die Image Buildern oder Flotten zugeordnet sind, können nicht gelöscht werden.

Eine Directory-Konfiguration löschen
  1. Öffnen Sie die AppStream-2.0-Konsole unter https://console.aws.amazon.com/appstream2.

  2. Wählen Sie im linken Navigationsbereich Directory-Konfigurationen und wählen Sie das zu löschende Directory aus.

  3. Wählen Sie Aktionen, Löschen aus.

  4. Überprüfen Sie den Namen in der Popup-Nachricht und wählen Sie Löschen.

  5. Wählen Sie Directory-Konfiguration aktualisieren.

Konfigurieren von AppStream 2.0 für die Verwendung von Domainvertrauensstellungen

AppStream 2.0 unterstützt Active-Directory-Domainumgebungen, wo sich Netzwerkressourcen wie Dateiserver, Anwendungen und Computerobjekte in einer Domain befinden und die Benutzerobjekte in einem anderen. Das Domain-Servicekonto für Computerobjekt-Vorgänge muss sich nicht in derselben Domain befinden wie die AppStream-2.0-Computerobjekte.

Geben Sie beim Erstellen der Directory-Konfiguration ein Servicekonto mit den entsprechenden Berechtigungen zum Verwalten von Computerobjekten in der Active Directory-Domäne an, in der sich die Dateiserver, Anwendungen, Computerobjekte und andere Netzwerkressourcen befinden.

Ihre Active Directory-Endbenutzerkonten müssen über die „Authentifizierungsgenehmigung“-Berechtigungen für Folgendes verfügen:

  • AppStream-2.0-Computerobjekte

  • Domänencontroller für die Domäne

Weitere Informationen finden Sie unter Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten.

Verwalten von AppStream-2.0-Computerobjekten in Active Directory

AppStream 2.0 löscht keine Computerobjekte aus Active Directory. Diese Computerobjekte können in Ihrem Directory ganz einfach identifiziert werden. Jedes Computerobjekt im Directory wird mit dem Description-Attribut angelegt, das eine Flotten- oder eine Image Builder-Instance und den Namen angibt.

Beispiele für Computerobjektbeschreibungen
Typ Name Beschreibung Attribut

Flotte

ExampleFleet

AppStream 2.0 - fleet:ExampleFleet

Image Builder

ExampleImageBuilder

AppStream 2.0 - image-builder:ExampleImageBuilder

Mit den folgenden dsquery computer- und dsrm-Befehlen können Sie mit AppStream 2.0 erstellte innaktive Computerobjekte identifizieren und löschen. Weitere Informationen finden Sie unter Dsquery Computer und Dsrm in der Microsoft-Dokumentation.

Der dsquery-Befehl identifiziert inaktive Computerobjekte innerhalb eines bestimmten Zeitraums. Er verwendet das folgende Format. Der dsquery-Befehl sollte ebenfalls mit dem Parameter -desc "AppStream 2.0*" ausgeführt werden, um nur AppStream-2.0-Objekte anzuzeigen.

dsquery computer "OU-distinguished-name" -desc "AppStream 2.0*" -inactive number-of-weeks-since-last-login
  • OU-distinguished-name ist der spezifische Name der Organisationseinheit. Weitere Informationen finden Sie unter Den spezifischen Namen der Organisationseinheit finden. Wenn Sie den Parameter OU-distinguished-name nicht angeben, durchsucht der Befehl das gesamte Directory.

  • number-of-weeks-since-last-log-in ist der gewünschte Wert, abhängig davon ab, wie Sie Inaktivität definieren.

Mit dem folgenden Befehl werden beispielsweise alle Computerobjekte in der Organisationseinheit OU=ExampleOU,DC=EXAMPLECO,DC=COM angezeigt, die innerhalb der letzten zwei Wochen nicht angemeldet waren.

dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "AppStream 2.0*" -inactive 2

Werden Übereinstimmungen gefunden, besteht das Ergebnis aus einem oder mehreren Objektnamen. Der dsrm-Befehl löscht das angegebene Objekt und verwendet das folgende Format:

dsrm objectname

Dabei ist objectname der vollständige Objektname aus der Ausgabe des Befehls dsquery. Ergibt beispielsweise der oben genannte dsquery-Befehl ein Computerobjekt mit dem Namen „ExampleComputer“, sieht der dsrm-Befehl zum Löschen wie folgt aus:

dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"

Sie können diese Befehle mit dem Pipe-Operator (|) zusammen verketten. Um beispielsweise alle AppStream-2.0-Computerobjekte zu löschen und für jedes davon eine Bestätigungsaufforderung anzuzeigen, verwenden Sie das folgende Format. Fügen Sie dsrm den Parameter -noprompt hinzu, um die Bestätigung zu deaktivieren.

dsquery computer OU-distinguished-name -desc "AppStream 2.0*" –inactive number-of-weeks-since-last-log-in | dsrm