Benutzergesteuerte Microsoft Entra Hybrideinbindung: Erhöhen des Grenzwerts für Computerkonten in der Organisationseinheit (OE)

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Schritte zur benutzergesteuerten Microsoft Entra hybriden Einbindung in Windows Autopilot:

• Schritt 1: Einrichten der automatischen windows-Intune-Registrierung
• Schritt 2: Installieren des Intune Connectors

• Schritt 3: Erhöhen des Grenzwerts für Computerkonten in der Organisationseinheit (OE)

• Schritt 4: Registrieren von Geräten als Windows Autopilot-Geräte
• Schritt 5: Erstellen einer Gerätegruppe
• Schritt 6: Konfigurieren und Zuweisen der Windows Autopilot-Registrierungsstatusseite (ESP)
• Schritt 7: Erstellen und Zuweisen Microsoft Entra Windows Autopilot-Hybridjoinprofils
• Schritt 8: Konfigurieren und Zuweisen eines Domänenbeitrittsprofils
• Schritt 9: Zuweisen eines Windows Autopilot-Geräts zu einem Benutzer (optional)
• Schritt 10: Bereitstellen des Geräts

Eine Übersicht über den benutzergesteuerten Microsoft Entra Hybrid Join-Workflow von Windows Autopilot finden Sie unter Übersicht über benutzergesteuerte Microsoft Entra Hybrid Joins in Windows Autopilot.

Hinweis

Wenn das Computerkontolimit für die richtige Organisationseinheit (OE) bereits erhöht wurde, überspringen Sie diesen Schritt, und fahren Sie mit Schritt 4: Registrieren von Geräten als Windows Autopilot-Geräte fort.

Erhöhen des Computerkontolimits in der Organisationseinheit (OE)

Aktualisierter Connector

Wichtig

Dieser Schritt ist nur unter einer der folgenden Bedingungen erforderlich:

• Der Administrator, der den Intune Connector für Active Directory installiert und konfiguriert hat, verfügte nicht über die entsprechenden Rechte, wie in Intune Connector für Active Directory-Anforderungen beschrieben.
• Die ODJConnectorEnrollmentWizard.exe.config XML-Datei wurde nicht geändert, um Organisationseinheiten hinzuzufügen, für die der MSA berechtigungen haben sollte.

Der Zweck von Intune Connector für Active Directory besteht darin, Computer einer Domäne hinzuzufügen und sie einer Organisationseinheit hinzuzufügen. Aus diesem Grund muss das verwaltete Dienstkonto (Managed Service Account, MSA), das für den Intune Connector für Active Directory verwendet wird, über Berechtigungen zum Erstellen von Computerkonten in der Organisationseinheit verfügen, in der die Computer mit der lokalen Domäne verknüpft sind.

Mit Standardberechtigungen in Active Directory können Domänenbeitritte durch den Intune Connector für Active Directory anfänglich ohne Berechtigungsänderungen an der Organisationseinheit in Active Directory funktionieren. Nachdem MSA jedoch versucht hat, mehr als 10 Computer mit der lokalen Domäne zu verbinden, funktioniert es nicht mehr, da Active Directory standardmäßig nur das Einbinden von bis zu 10 Computern mit der lokalen Domäne zulässt.

Die folgenden Benutzer sind nicht durch die Beschränkung auf 10 Computerdomäneneinbindung eingeschränkt:

• Benutzer in den Gruppen Administratoren oder Domänenadministratoren: Um das Prinzip der geringsten Rechte einzuhalten, empfiehlt Microsoft nicht, den MSA als Administrator oder Domänenadministrator zu machen.
• Benutzer mit delegierten Berechtigungen für Organisationseinheiten (OUs) und Container in Active Directory zum Erstellen von Computerkonten: Diese Methode wird empfohlen, da sie dem Prinzip der geringsten Rechte folgt.

Um diese Einschränkung zu beheben, benötigt der MSA die Berechtigung Computerkonten erstellen in der Organisationseinheit (OE), in der die Computer in der lokalen Domäne verknüpft sind. Der Intune Connector für Active Directory legt die Berechtigungen für die MSAs auf die Organisationseinheiten fest, solange eine der folgenden Bedingungen erfüllt ist:

• Der Administrator, der den Intune Connector für Active Directory installiert, verfügt über die erforderlichen Berechtigungen zum Festlegen von Berechtigungen für die Organisationseinheiten.
• Der Administrator, der den Intune Connector für Active Directory konfiguriert, verfügt über die erforderlichen Berechtigungen zum Festlegen von Berechtigungen für die Organisationseinheiten.

Wenn der Administrator, der den Intune Connector für Active Directory installiert oder konfiguriert, nicht über die erforderlichen Berechtigungen zum Festlegen von Berechtigungen für die Organisationseinheiten verfügt, müssen die folgenden Schritte ausgeführt werden:

1. Melden Sie sich bei einem Computer mit Zugriff auf die Active Directory-Benutzer und -Computer-Konsole mit einem Konto an, das die erforderlichen Berechtigungen zum Festlegen von Berechtigungen für Organisationseinheiten enthält.

2. Öffnen Sie die Active Directory-Benutzer und -Computer-Konsole, indem Sie DSA.msc ausführen.

3. Erweitern Sie die gewünschte Domäne, und navigieren Sie zu der Organisationseinheit (OE), der Computer während Windows Autopilot beitreten.

   Hinweis

   Die Organisationseinheit, der Computer während der Windows Autopilot-Bereitstellung beitreten, wird später im Schritt Konfigurieren und Zuweisen des Profils für den Domänenbeitritt angegeben.

4. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, und wählen Sie Eigenschaften aus.

   Hinweis

   Wenn Computer dem Standardcontainer Computer anstelle einer Organisationseinheit beitreten, klicken Sie mit der rechten Maustaste auf den Container Computer , und wählen Sie Steuerung delegieren aus.

5. Wählen Sie in den fenstern Eigenschaften der Organisationseinheit, das geöffnet wird, die Registerkarte Sicherheit aus.

6. Wählen Sie auf der Registerkarte Sicherheit die Option Erweitert aus.

7. Wählen Sie im Fenster Erweiterte Sicherheitseinstellungendie Option Hinzufügen aus.

8. Wählen Sie im Fenster Berechtigungseintrag neben Prinzipal den Link Prinzipal auswählen aus.

9. Wählen Sie im Fenster Benutzer, Computer, Dienstkonto oder Gruppe auswählen die Schaltfläche Objekttypen... aus.

10. Aktivieren Sie im Fenster Objekttypen das Kontrollkästchen Dienstkonten , und wählen Sie dann OK aus.

11. Geben Sie im Fenster Benutzer, Computer, Dienstkonto oder Gruppe auswählen unter Geben Sie den auszuwählenden Objektnamen ein den Namen des MSA ein, der für den Intune Connector für Active Directory verwendet wird.

    Tipp

    Der MSA wurde während des Schritts/Abschnitts Installieren des Intune Connectors für Active Directory erstellt und hat das Namensformat, msaODJ##### wobei ##### fünf zufällige Zeichen sind. Wenn der MSA-Name nicht bekannt ist, führen Sie die folgenden Schritte aus, um den MSA-Namen zu finden:

    1. Klicken Sie auf dem Server, auf dem der Intune Connector für Active Directory ausgeführt wird, mit der rechten Maustaste auf das Startmenü, und wählen Sie dann Computerverwaltung aus.
    2. Erweitern Sie im Fenster Computerverwaltungden Knoten Dienste und Anwendungen , und wählen Sie dann Dienste aus.
    3. Suchen Sie im Ergebnisbereich den Dienst mit dem Namen Intune ODJConnector for Active Service. Der Name des MSA ist in der Spalte Anmelden als aufgeführt.

12. Wählen Sie Namen überprüfen aus, um den MSA-Namenseintrag zu überprüfen. Nachdem der Eintrag überprüft wurde, wählen Sie OK aus.

13. Wählen Sie im Fenster Berechtigungseintrag das Dropdownmenü Gilt für: aus, und wählen Sie dann Nur Dieses Objekt aus.

14. Heben Sie unter Berechtigungen die Auswahl aller Elemente auf, und aktivieren Sie dann nur das Kontrollkästchen Computerobjekte erstellen .

15. Wählen Sie OK aus, um das Fenster Berechtigungseintrag zu schließen.

16. Wählen Sie im Fenster Erweiterte Sicherheitseinstellungen entweder Übernehmen oder OK aus, um die Änderungen zu übernehmen.

Legacyconnector

Der Zweck von Intune Connector für Active Directory besteht darin, Computer einer Domäne hinzuzufügen und sie einer Organisationseinheit hinzuzufügen. Aus diesem Grund muss der Server, auf dem der Intune Connector für Active Directory ausgeführt wird, über Berechtigungen zum Erstellen von Computerkonten in der Organisationseinheit verfügen, in der die Computer mit der lokalen Domäne verknüpft sind.

Mit Standardberechtigungen in Active Directory können Domänenbeitritte durch den Intune Connector für Active Directory anfänglich ohne Berechtigungsänderungen an der Organisationseinheit in Active Directory funktionieren. Nachdem der Server, auf dem der Intune Connector für Active Directory ausgeführt wird, versucht hat, mehr als 10 Computer mit der lokalen Domäne zu verbinden, funktioniert er jedoch nicht mehr, da Active Directory standardmäßig nur das Einbinden von bis zu 10 Computern mit der lokalen Domäne zulässt.

Die folgenden Benutzer sind nicht durch die Beschränkung auf 10 Computerdomäneneinbindung eingeschränkt:

• Benutzer in den Gruppen Administratoren oder Domänenadministratoren: Um das Prinzip der geringsten Rechte einzuhalten, empfiehlt Microsoft nicht, das Computerkonto, auf dem der Intune Connector für Active Directory ausgeführt wird, als Administrator oder Domänenadministrator festzulegen.
• Benutzer mit delegierten Berechtigungen für Organisationseinheiten (OUs) und Container in Active Directory zum Erstellen von Computerkonten– diese Methode wird empfohlen, da sie dem Prinzip der geringsten Rechte folgt.

Um diese Einschränkung zu beheben, benötigt der Server, auf dem der Intune Connector für Active Directory ausgeführt wird, die Berechtigung Computerkonten erstellen in der Organisationseinheit (OE), in der die Computer in der lokalen Domäne eingebunden sind:

Führen Sie die folgenden Schritte auf einem Computer aus, der Zugriff auf die Active Directory-Benutzer und -Computer-Konsole hat, um den Grenzwert für Computerkonten in der Organisationseinheit (OE) zu erhöhen, mit der die Computer während Windows Autopilot verbunden werden:

1. Öffnen Sie die Active Directory-Benutzer und -Computer-Konsole, indem Sie DSA.msc ausführen.

2. Erweitern Sie die gewünschte Domäne, und navigieren Sie zu der Organisationseinheit (OE), der Computer während Windows Autopilot beitreten.

   Hinweis

   Die Organisationseinheit, der Computer während der Windows Autopilot-Bereitstellung beitreten, wird später im Schritt Konfigurieren und Zuweisen des Profils für den Domänenbeitritt angegeben.

3. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, und wählen Sie Steuerung delegieren aus.

   Hinweis

   Wenn Computer dem Standardcontainer Computer anstelle einer Organisationseinheit beitreten, klicken Sie mit der rechten Maustaste auf den Container Computer , und wählen Sie Steuerung delegieren aus.

4. Wählen Sie im Fenster Willkommen beim Assistenten für die Delegierung von Steuerelementen des Assistenten für die Delegierung von Steuerelementen die Option Weiter aus.

5. Wählen Sie im Fenster Benutzer oder Gruppen unter Ausgewählte Benutzer und Gruppen die Option Hinzufügen aus.

6. Wählen Sie neben Diesen Objekttyp auswählen im Fenster Benutzer, Computer oder Gruppen auswählendie Option Objekttypen aus.

7. Aktivieren Sie im Fenster Objekttypen das Kontrollkästchen Computer , und wählen Sie dann OK aus. Für die anderen Elemente in diesem Fenster kann der Standardwert beibehalten werden.

8. Geben Sie im Fenster Benutzer, Computer oder Gruppen auswählen unter dem Feld Geben Sie die auszuwählenden Objektnamen ein den Namen des Computers ein, auf dem der Intune Connector für Active Directory während des Schritts Intune Connector installieren installiert wurde.

9. Wählen Sie Namen überprüfen aus, um den Eintrag zu überprüfen. Nachdem der Eintrag überprüft wurde, wählen Sie OK aus.

10. Überprüfen Sie im Fenster Benutzer oder Gruppen , ob der richtige Computer unter Ausgewählte Benutzer und Gruppen: angezeigt wird, und wählen Sie dann Weiter aus.

11. Wählen Sie im Fenster Zu delegierende Aufgaben die Option Benutzerdefinierte Aufgabe zum Delegieren erstellen und dann Weiter aus.

12. Im Fenster Active Directory-Objekttyp :

    1. Wählen Sie Nur die folgenden Objekte im Ordner aus.

    2. Wählen Sie unter Nur die folgenden Objekte im Ordnerdie Option Computerobjekte aus.

    3. Aktivieren Sie das Kontrollkästchen Ausgewählte Objekte in diesem Ordner erstellen .

    4. Wählen Sie Weiter aus.

13. Aktivieren Sie im Fenster Berechtigungen unter Berechtigungen: das Kontrollkästchen Vollzugriff , und wählen Sie dann Weiter aus.

    Hinweis

    Nachdem Sie das Kontrollkästchen Vollzugriff aktiviert haben, werden alle anderen Optionen unter Berechtigungen: automatisch ausgewählt. Die automatische Auswahl der Kontrollkästchen ist normal und wird erwartet. Deaktivieren Sie keines der Kontrollkästchen, nachdem sie automatisch aktiviert wurden.

14. Wählen Sie im Fenster Assistenten zum Abschließen des Delegierungs-Assistenten die Option Fertig stellen aus.

Nächster Schritt: Registrieren von Geräten als Windows Autopilot-Geräte

Schritt 4: Registrieren von Geräten als Windows Autopilot-Geräte

Verwandte Inhalte

Weitere Informationen zum Erhöhen des Grenzwerts für Computerkonten in einer Organisationseinheit finden Sie in den folgenden Artikeln:

• Erhöhen Sie das Computerkontolimit in der Organisationseinheit.
• Standardgrenzwert für die Anzahl von Arbeitsstationen, die ein Benutzer der Domäne beitreten kann.
• Fügen Sie Arbeitsstationen zur Domäne hinzu.