Předběžné zřízení Microsoft Entra hybridním připojení: Zvýšení limitu účtu počítače v organizační jednotce (OU)

• Platí pro:

  ✅ Windows 11, ✅ Windows 10

Windows Autopilot pro předem zřízené nasazení Microsoft Entra kroky hybridního připojení:

• Krok 1: Nastavení automatické registrace windows Intune
• Krok 2: Instalace konektoru Intune

• Krok 3: Zvýšení limitu účtu počítače v organizační jednotce (OU)

• Krok 4: Registrace zařízení jako zařízení Windows Autopilot
• Krok 5: Vytvoření skupiny zařízení
• Krok 6: Konfigurace a přiřazení stránky stavu registrace windows Autopilotu (ESP)
• Krok 7: Vytvoření a přiřazení profilu windows Autopilotu Microsoft Entra hybridního připojení
• Krok 8: Konfigurace a přiřazení profilu připojení k doméně
• Krok 9: Přiřazení zařízení Windows Autopilot uživateli (volitelné)
• Krok 10: Postup techniků
• Krok 11: Tok uživatele

Přehled pracovního postupu windows Autopilotu pro předem zřízené nasazení Microsoft Entra hybridního připojení najdete v tématu Windows Autopilot pro předem zřízené nasazení Microsoft Entra přehled hybridního připojení.

Poznámka

Pokud už je limit účtu počítače pro správnou organizační jednotku (OU) vyšší, přeskočte tento krok a přejděte ke kroku 4: Registrace zařízení jako zařízení Windows Autopilot.

Zvýšení limitu účtu počítače v organizační jednotce (OU)

Aktualizovaný konektor

Důležité

Tento krok je nutný pouze za jedné z následujících podmínek:

• Správce, který nainstaloval a nakonfiguroval Intune Connector pro Službu Active Directory, neměl příslušná práva, jak je uvedeno v části Intune Connector pro požadavky služby Active Directory.
• Soubor ODJConnectorEnrollmentWizard.exe.config XML nebyl upraven tak, aby přidával organizační objekty, pro které by měl mít správce msa oprávnění.

Účelem konektoru Intune pro Službu Active Directory je připojit počítače k doméně a přidat je do organizační jednotky. Z tohoto důvodu musí mít účet spravované služby (MSA) používaný pro konektor Intune pro Službu Active Directory oprávnění k vytváření účtů počítačů v organizační jednotky, kde jsou počítače připojené k místní doméně.

S výchozími oprávněními ve službě Active Directory můžou připojení k doméně konektorem Intune pro Službu Active Directory zpočátku fungovat bez jakýchkoli úprav oprávnění organizační jednotky ve službě Active Directory. Poté, co se microsoft microsoft pokusí připojit více než 10 počítačů k místní doméně, ale přestane fungovat, protože ve výchozím nastavení služba Active Directory umožňuje připojit k místní doméně pouze jeden účet až 10 počítačů.

Následující uživatelé nejsou omezeni omezením 10 připojení k doméně počítače:

• Uživatelé ve skupinách Správci nebo Správci domény: Aby bylo možné dodržet model s nejnižšími oprávněními, microsoft nedoporučuje, aby byl správcem msa nebo správcem domény.
• Uživatelé s delegovanými oprávněními k organizační jednotce a kontejnerům ve službě Active Directory k vytváření účtů počítačů: Tato metoda se doporučuje, protože se řídí modelem principů nejnižších oprávnění.

Aby bylo toto omezení opraveno, potřebuje správce msa oprávnění k vytváření účtů počítačů v organizační jednotce(OU), ke které jsou počítače v místní doméně připojené. Konektor Intune pro Službu Active Directory nastaví oprávnění pro správce služeb pro organizační procesory za předpokladu, že je splněna jedna z následujících podmínek:

• Správce, který instaluje konektor Intune pro Službu Active Directory, má potřebná oprávnění k nastavení oprávnění u organizačních jednotek.
• Správce, který konfiguruje konektor Intune pro Službu Active Directory, má potřebná oprávnění k nastavení oprávnění u organizačních jednotek.

Pokud správce, který instaluje nebo konfiguruje konektor Intune pro Službu Active Directory, nemá potřebná oprávnění k nastavení oprávnění u organizačních jednotek, je potřeba postupovat podle následujících kroků:

1. Přihlaste se k počítači, který má přístup ke konzole Uživatelé a počítače služby Active Directory pomocí účtu, který má potřebná oprávnění k nastavení oprávnění u organizačních jednotek.

2. Otevřete konzolu Uživatelé a počítače služby Active Directory spuštěním příkazu DSA.msc.

3. Rozbalte požadovanou doménu a přejděte k organizační jednotce(OU), ke které se počítače připojují během windows Autopilotu.

   Poznámka

   Organizační jednotka, ke které se počítače připojí během nasazení Windows Autopilotu, se zadává později během kroku Konfigurace a přiřazení profilu připojení k doméně .

4. Klikněte pravým tlačítkem na organizační jednotky a vyberte Vlastnosti.

   Poznámka

   Pokud počítače místo organizační jednotky připojují výchozí kontejner Počítače , klikněte pravým tlačítkem na kontejner Počítače a vyberte Delegovat řízení.

5. V okně Vlastnosti organizační jednotky, které se otevře, vyberte kartu Zabezpečení .

6. Na kartě Zabezpečení vyberte Upřesnit.

7. V okně Upřesnit nastavení zabezpečení vyberte Přidat.

8. V oknech Položka oprávnění vedle položky Objekt zabezpečení vyberte odkaz Vybrat objekt zabezpečení .

9. V okně Vybrat uživatele, počítač, účet služby nebo skupinu vyberte tlačítko Typy objektů .

10. V okně Typy objektů zaškrtněte políčko Účty služeb a pak vyberte OK.

11. V okně Vybrat uživatele, počítač, účet služby nebo skupinu v části Zadejte název objektu, který chcete vybrat zadejte název MSA, který se používá pro konektor Intune pro Active Directory.

    Tip

    Účet MSA byl vytvořen v kroku/části Instalace konektoru Intune pro Službu Active Directory a má formát názvu, ve ##### kterém je pět náhodných msaODJ##### znaků. Pokud název MSA není známý, vyhledejte ho následujícím postupem:

    1. Na serveru se spuštěným konektorem Intune pro službu Active Directory klikněte pravým tlačítkem na nabídku Start a pak vyberte Správa počítače.
    2. V okně Správa počítače rozbalte položku Služby a aplikace a pak vyberte Služby.
    3. V podokně výsledků vyhledejte službu s názvem Intune ODJConnector pro Active Service. Název msa je uvedený ve sloupci Přihlásit se jako .

12. Vyberte Zkontrolovat názvy a ověřte položku názvu MSA. Po ověření položky vyberte OK.

13. V oknech Položka oprávnění vyberte rozevírací nabídku Platí pro: a pak vyberte Pouze tento objekt.

14. V části Oprávnění zrušte výběr všech položek a pak zaškrtněte pouze políčko Vytvořit objekty počítače .

15. Výběrem OK zavřete okno Položka oprávnění .

16. V okně Upřesnit nastavení zabezpečení vyberte Použít nebo OK , aby se změny použily.

Starší verze konektoru

Účelem konektoru Intune pro Službu Active Directory je připojit počítače k doméně a přidat je do organizační jednotky. Z tohoto důvodu musí mít server se spuštěným konektorem Intune pro Službu Active Directory oprávnění k vytváření účtů počítačů v organizační jednotky, ve které jsou počítače připojené k místní doméně.

S výchozími oprávněními ve službě Active Directory můžou připojení k doméně konektorem Intune pro Službu Active Directory zpočátku fungovat bez jakýchkoli úprav oprávnění organizační jednotky ve službě Active Directory. Jakmile se však server se spuštěným konektorem Intune pro službu Active Directory pokusí připojit více než 10 počítačů k místní doméně, přestane fungovat, protože služba Active Directory ve výchozím nastavení umožňuje připojení až 10 počítačů k místní doméně pouze jednomu účtu.

Následující uživatelé nejsou omezeni omezením 10 připojení k doméně počítače:

• Uživatelé ve skupinách Administrators nebo Domain Administrators – aby bylo možné dodržet model s nejnižšími oprávněními, microsoft nedoporučuje, aby účet počítače s konektorem Intune pro Službu Active Directory byl správcem nebo správcem domény.
• Uživatelé s delegovanými oprávněními k organizační jednotce a kontejnerům ve službě Active Directory k vytváření účtů počítačů – tato metoda se doporučuje, protože se řídí modelem principů nejnižších oprávnění.

K vyřešení tohoto omezení potřebuje server, na kterém běží konektor Intune pro Službu Active Directory, oprávnění k vytváření účtů počítačů v organizační jednotce (OU), ke které jsou počítače připojené v místní doméně:

Chcete-li zvýšit limit účtu počítače v organizační jednotce (OU), ke které se počítače připojují během programu Windows Autopilot, na počítači, který má přístup ke konzole Uživatelé a počítače služby Active Directory, postupujte takto:

1. Otevřete konzolu Uživatelé a počítače služby Active Directory spuštěním příkazu DSA.msc.

2. Rozbalte požadovanou doménu a přejděte k organizační jednotce(OU), ke které se počítače připojují během windows Autopilotu.

   Poznámka

   Organizační jednotka, ke které se počítače připojí během nasazení Windows Autopilotu, se zadává později během kroku Konfigurace a přiřazení profilu připojení k doméně .

3. Klikněte pravým tlačítkem na organizační jednotky a vyberte Delegovat řízení.

   Poznámka

   Pokud počítače místo organizační jednotky připojují výchozí kontejner Počítače , klikněte pravým tlačítkem na kontejner Počítače a vyberte Delegovat řízení.

4. V okně Vítá vás Průvodce delegováním ovládacího prvkuv Průvodci delegováním ovládacího prvku vyberte Další.

5. V okně Uživatelé nebo skupiny v části Vybraní uživatelé a skupiny vyberte Přidat.

6. Vedle možnosti Vybrat tento typ objektu: v okně Vybrat uživatele, počítače nebo skupiny vyberte Typy objektů.

7. V okně Typy objektů zaškrtněte políčko Počítače a pak vyberte OK. Ostatní položky v tomto okně mohou být ponechány ve výchozím nastavení.

8. V okně Vybrat uživatele, počítače nebo skupiny zadejte do pole Zadejte názvy objektů k výběru název počítače, na kterém byl nainstalován konektor Intune pro Službu Active Directory během kroku Instalace konektoru Intune.

9. Výběrem možnosti Zkontrolovat jména položku ověřte. Po ověření položky vyberte OK.

10. V okně Uživatelé nebo skupiny ověřte, že se v části Vybraní uživatelé a skupiny zobrazuje správný počítač, a pak vyberte Další.

11. V okně Úkoly k delegování vyberte Vytvořit vlastní úkol k delegování a pak vyberte Další.

12. V okně Typ objektu služby Active Directory :

    1. Ve složce vyberte Pouze následující objekty.

    2. V části Pouze následující objekty ve složce vyberte Objekty počítače.

    3. Zaškrtněte políčko Vytvořit vybrané objekty v této složce .

    4. Vyberte Další.

13. V okně Oprávnění zaškrtněte v části Oprávnění políčko Úplné řízení a pak vyberte Další.

    Poznámka

    Po zaškrtnutí políčka Úplné řízení se automaticky vyberou všechny ostatní možnosti v části Oprávnění: . Automatický výběr zaškrtávacích políček je normální a očekávaný. Po automatickém výběru zaškrtávacích políček neodškrtávejte.

14. V okně Dokončení průvodce delegováním ovládacího prvku vyberte Dokončit.

Další krok: Registrace zařízení jako zařízení Windows Autopilot

Krok 4: Registrace zařízení jako zařízení Windows Autopilot

Související obsah

Další informace o zvýšení limitu účtu počítače v organizační jednotce najdete v následujících článcích:

• Zvyšte limit účtu počítače v organizační jednotce.
• Výchozí limit počtu pracovních stanic, ke které se uživatel může připojit k doméně.
• Přidejte pracovní stanice do domény.