Sdílet prostřednictvím


Předběžné zřízení Microsoft Entra hybridním připojení: Zvýšení limitu účtu počítače v organizační jednotce (OU)

Windows Autopilot pro předem zřízené nasazení Microsoft Entra kroky hybridního připojení:

  • Krok 3: Zvýšení limitu účtu počítače v organizační jednotce (OU)

Přehled pracovního postupu windows Autopilotu pro předem zřízené nasazení Microsoft Entra hybridního připojení najdete v tématu Windows Autopilot pro předem zřízené nasazení Microsoft Entra přehled hybridního připojení.

Poznámka

Pokud už je limit účtu počítače pro správnou organizační jednotku (OU) vyšší, přeskočte tento krok a přejděte ke kroku 4: Registrace zařízení jako zařízení Windows Autopilot.

Zvýšení limitu účtu počítače v organizační jednotce (OU)

Důležité

Tento krok je nutný pouze za jedné z následujících podmínek:

  • Správce, který nainstaloval a nakonfiguroval Intune Connector pro Službu Active Directory, neměl příslušná práva, jak je uvedeno v části Intune Connector pro požadavky služby Active Directory.
  • Soubor ODJConnectorEnrollmentWizard.exe.config XML nebyl upraven tak, aby přidával organizační objekty, pro které by měl mít správce msa oprávnění.

Účelem konektoru Intune pro Službu Active Directory je připojit počítače k doméně a přidat je do organizační jednotky. Z tohoto důvodu musí mít účet spravované služby (MSA) používaný pro konektor Intune pro Službu Active Directory oprávnění k vytváření účtů počítačů v organizační jednotky, kde jsou počítače připojené k místní doméně.

S výchozími oprávněními ve službě Active Directory můžou připojení k doméně konektorem Intune pro Službu Active Directory zpočátku fungovat bez jakýchkoli úprav oprávnění organizační jednotky ve službě Active Directory. Poté, co se microsoft microsoft pokusí připojit více než 10 počítačů k místní doméně, ale přestane fungovat, protože ve výchozím nastavení služba Active Directory umožňuje připojit k místní doméně pouze jeden účet až 10 počítačů.

Následující uživatelé nejsou omezeni omezením 10 připojení k doméně počítače:

  • Uživatelé ve skupinách Správci nebo Správci domény: Aby bylo možné dodržet model s nejnižšími oprávněními, microsoft nedoporučuje, aby byl správcem msa nebo správcem domény.
  • Uživatelé s delegovanými oprávněními k organizační jednotce a kontejnerům ve službě Active Directory k vytváření účtů počítačů: Tato metoda se doporučuje, protože se řídí modelem principů nejnižších oprávnění.

Aby bylo toto omezení opraveno, potřebuje správce msa oprávnění k vytváření účtů počítačů v organizační jednotce(OU), ke které jsou počítače v místní doméně připojené. Konektor Intune pro Službu Active Directory nastaví oprávnění pro správce služeb pro organizační procesory za předpokladu, že je splněna jedna z následujících podmínek:

  • Správce, který instaluje konektor Intune pro Službu Active Directory, má potřebná oprávnění k nastavení oprávnění u organizačních jednotek.
  • Správce, který konfiguruje konektor Intune pro Službu Active Directory, má potřebná oprávnění k nastavení oprávnění u organizačních jednotek.

Pokud správce, který instaluje nebo konfiguruje konektor Intune pro Službu Active Directory, nemá potřebná oprávnění k nastavení oprávnění u organizačních jednotek, je potřeba postupovat podle následujících kroků:

  1. Přihlaste se k počítači, který má přístup ke konzole Uživatelé a počítače služby Active Directory pomocí účtu, který má potřebná oprávnění k nastavení oprávnění u organizačních jednotek.

  2. Otevřete konzolu Uživatelé a počítače služby Active Directory spuštěním příkazu DSA.msc.

  3. Rozbalte požadovanou doménu a přejděte k organizační jednotce(OU), ke které se počítače připojují během windows Autopilotu.

    Poznámka

    Organizační jednotka, ke které se počítače připojí během nasazení Windows Autopilotu, se zadává později během kroku Konfigurace a přiřazení profilu připojení k doméně .

  4. Klikněte pravým tlačítkem na organizační jednotky a vyberte Vlastnosti.

    Poznámka

    Pokud počítače místo organizační jednotky připojují výchozí kontejner Počítače , klikněte pravým tlačítkem na kontejner Počítače a vyberte Delegovat řízení.

  5. V okně Vlastnosti organizační jednotky, které se otevře, vyberte kartu Zabezpečení .

  6. Na kartě Zabezpečení vyberte Upřesnit.

  7. V okně Upřesnit nastavení zabezpečení vyberte Přidat.

  8. V oknech Položka oprávnění vedle položky Objekt zabezpečení vyberte odkaz Vybrat objekt zabezpečení .

  9. V okně Vybrat uživatele, počítač, účet služby nebo skupinu vyberte tlačítko Typy objektů .

  10. V okně Typy objektů zaškrtněte políčko Účty služeb a pak vyberte OK.

  11. V okně Vybrat uživatele, počítač, účet služby nebo skupinu v části Zadejte název objektu, který chcete vybrat zadejte název MSA, který se používá pro konektor Intune pro Active Directory.

    Tip

    Účet MSA byl vytvořen v kroku/části Instalace konektoru Intune pro Službu Active Directory a má formát názvu, ve ##### kterém je pět náhodných msaODJ##### znaků. Pokud název MSA není známý, vyhledejte ho následujícím postupem:

    1. Na serveru se spuštěným konektorem Intune pro službu Active Directory klikněte pravým tlačítkem na nabídku Start a pak vyberte Správa počítače.
    2. V okně Správa počítače rozbalte položku Služby a aplikace a pak vyberte Služby.
    3. V podokně výsledků vyhledejte službu s názvem Intune ODJConnector pro Active Service. Název msa je uvedený ve sloupci Přihlásit se jako .
  12. Vyberte Zkontrolovat názvy a ověřte položku názvu MSA. Po ověření položky vyberte OK.

  13. V oknech Položka oprávnění vyberte rozevírací nabídku Platí pro: a pak vyberte Pouze tento objekt.

  14. V části Oprávnění zrušte výběr všech položek a pak zaškrtněte pouze políčko Vytvořit objekty počítače .

  15. Výběrem OK zavřete okno Položka oprávnění .

  16. V okně Upřesnit nastavení zabezpečení vyberte Použít nebo OK , aby se změny použily.

Další krok: Registrace zařízení jako zařízení Windows Autopilot

Další informace o zvýšení limitu účtu počítače v organizační jednotce najdete v následujících článcích: