Wstępne aprowizowanie Microsoft Entra przyłączania hybrydowego: zwiększ limit konta komputera w jednostce organizacyjnej (OU)

• Dotyczy:

  ✅ Windows 11, ✅ Windows 10

Rozwiązanie Windows Autopilot na potrzeby wstępnie aprowizowanego wdrożenia Microsoft Entra kroki dołączania hybrydowego:

• Krok 1. Konfigurowanie automatycznej rejestracji Intune systemu Windows
• Krok 2. Instalowanie łącznika Intune

• Krok 3. Zwiększenie limitu konta komputera w jednostce organizacyjnej (OU)

• Krok 4. Rejestrowanie urządzeń jako urządzeń z rozwiązaniem Windows Autopilot
• Krok 5. Tworzenie grupy urządzeń
• Krok 6. Konfigurowanie i przypisywanie strony stanu rejestracji rozwiązania Windows Autopilot (ESP)
• Krok 7. Tworzenie i przypisywanie Microsoft Entra profilu przyłączania hybrydowego do rozwiązania Windows Autopilot
• Krok 8. Konfigurowanie i przypisywanie profilu przyłączania do domeny
• Krok 9. Przypisywanie urządzenia z rozwiązaniem Windows Autopilot do użytkownika (opcjonalnie)
• Krok 10. Przepływ techników
• Krok 11. Przepływ użytkownika

Aby zapoznać się z omówieniem rozwiązania Windows Autopilot dla wstępnie aprowizowanego wdrożenia Microsoft Entra hybrydowego przepływu pracy dołączania, zobacz Windows Autopilot, aby zapoznać się z wstępnie aprowizowanym wdrożeniem Microsoft Entra dołączanie hybrydowe.

Uwaga

Jeśli limit konta komputera dla odpowiedniej jednostki organizacyjnej został już zwiększony, pomiń ten krok i przejdź do kroku 4: Rejestrowanie urządzeń jako urządzeń z rozwiązaniem Windows Autopilot.

Zwiększanie limitu konta komputera w jednostce organizacyjnej (OU)

Zaktualizowany łącznik

Ważna

Ten krok jest wymagany tylko w jednym z następujących warunków:

• Administrator, który zainstalował i skonfigurował łącznik Intune dla usługi Active Directory, nie miał odpowiednich praw zgodnie z opisem w temacie Intune Connector for Active Directory Requirements (Łącznik Intune dla wymagań usługi Active Directory).
• Plik ODJConnectorEnrollmentWiazard.exe.config XML nie został zmodyfikowany w celu dodania jednostek organizacyjnych, do których administrator usługi powinien mieć uprawnienia.

Celem łącznika Intune dla usługi Active Directory jest dołączenie komputerów do domeny i dodanie ich do jednostki organizacyjnej. Z tego powodu konto usługi zarządzanej (MSA) używane dla łącznika Intune dla usługi Active Directory musi mieć uprawnienia do tworzenia kont komputerów w jednostce organizacyjnej, do której komputery są przyłączone do domeny lokalnej.

W przypadku uprawnień domyślnych w usłudze Active Directory sprzężenia domeny przez łącznik Intune dla usługi Active Directory mogą początkowo działać bez żadnych modyfikacji uprawnień do jednostki organizacyjnej w usłudze Active Directory. Jednak po próbie dołączenia ponad 10 komputerów do domeny lokalnej usługa MSA przestanie działać, ponieważ domyślnie usługa Active Directory zezwala na dołączanie maksymalnie 10 komputerów do domeny lokalnej przez dowolne pojedyncze konto.

Ograniczenie 10 przyłączeń do domeny komputera nie ogranicza następujących użytkowników:

• Użytkownicy w grupach Administratorzy lub Administratorzy domeny: Aby zapewnić zgodność z modelem zasad najniższych uprawnień, firma Microsoft nie zaleca, aby administrator lub administrator domeny zarządzane było.
• Użytkownicy z uprawnieniami delegowanymi do jednostki organizacyjnej (OU) i kontenerów w usłudze Active Directory do tworzenia kont komputerów: Ta metoda jest zalecana, ponieważ jest zgodna z modelem zasad najniższych uprawnień.

Aby rozwiązać ten problem, administrator konta musi mieć uprawnienie Utwórz konta komputera w jednostce organizacyjnej (OU), do której komputery są przyłączone w domenie lokalnej. Łącznik Intune dla usługi Active Directory ustawia uprawnienia dla msa na jednostki organizacyjne, o ile spełniony jest jeden z następujących warunków:

• Administrator instalujący łącznik Intune dla usługi Active Directory ma uprawnienia niezbędne do ustawiania uprawnień dla jednostek organizacyjnych.
• Administrator konfigurujący łącznik Intune dla usługi Active Directory ma uprawnienia niezbędne do ustawiania uprawnień dla jednostek organizacyjnych.

Jeśli administrator instalujący lub konfigurujący łącznik Intune dla usługi Active Directory nie ma uprawnień niezbędnych do ustawiania uprawnień dla jednostek organizacyjnych, należy wykonać następujące kroki:

1. Zaloguj się do komputera z dostępem do konsoli Użytkownicy i komputery usługi Active Directory przy użyciu konta, które jest niezbędne do ustawienia uprawnień dla jednostek organizacyjnych.

2. Otwórz konsolę Użytkownicy i komputery usługi Active Directory, uruchamiając plik DSA.msc.

3. Rozwiń żądaną domenę i przejdź do jednostki organizacyjnej (OU), do którą komputery dołączają podczas rozwiązania Windows Autopilot.

   Uwaga

   Jednostka organizacyjna dołączana przez komputery podczas wdrażania rozwiązania Windows Autopilot jest określona później podczas kroku Konfigurowanie i przypisywanie profilu przyłączania do domeny .

4. Kliknij prawym przyciskiem myszy jednostkę organizacyjną i wybierz pozycję Właściwości.

   Uwaga

   Jeśli komputery dołączają do domyślnego kontenera Komputery zamiast jednostki organizacyjnej, kliknij prawym przyciskiem myszy kontener Komputery i wybierz pozycję Deleguj kontrolę.

5. W oknach Właściwości jednostki organizacyjnej, które zostanie otwarte, wybierz kartę Zabezpieczenia .

6. Na karcie Zabezpieczenia wybierz pozycję Zaawansowane.

7. W oknie Zaawansowane ustawienia zabezpieczeń wybierz pozycję Dodaj.

8. W oknach Wpis uprawnień obok pozycji Jednostka wybierz link Wybierz podmiot zabezpieczeń .

9. W oknie Wybieranie użytkownika, komputera, konta usługi lub grupy wybierz przycisk Typy obiektów...

10. W oknie Typy obiektów zaznacz pole wyboru Konta usług , a następnie wybierz przycisk OK.

11. W oknie Wybieranie użytkownika, komputera, konta usługi lub grupy w obszarze Wprowadź nazwę obiektu do wybrania wprowadź nazwę msa używaną dla łącznika Intune dla usługi Active Directory.

    Porada

    Msa została utworzona podczas instalowania łącznika Intune dla usługi Active Directory krok/sekcja i ma format nazwy, msaODJ##### gdzie ##### jest pięć losowych znaków. Jeśli nazwa msa nie jest znana, wykonaj następujące kroki, aby znaleźć nazwę msa:

    1. Na serwerze z uruchomionym łącznikiem Intune dla usługi Active Directory kliknij prawym przyciskiem myszy menu Start, a następnie wybierz pozycję Zarządzanie komputerem.
    2. W oknie Zarządzanie komputerem rozwiń węzeł Usługi i aplikacje , a następnie wybierz pozycję Usługi.
    3. W okienku wyników znajdź usługę o nazwie Intune ODJConnector dla usługi Active Service. Nazwa msa jest wymieniona w logowanie jako kolumny.

12. Wybierz pozycję Sprawdź nazwy , aby zweryfikować wpis nazwy msa. Po zweryfikowaniu wpisu wybierz przycisk OK.

13. W oknach Wpis uprawnień wybierz menu rozwijane Zastosuj do: , a następnie wybierz pozycję Tylko ten obiekt.

14. W obszarze Uprawnienia usuń zaznaczenie wszystkich elementów, a następnie zaznacz pole wyboru Utwórz obiekty komputera .

15. Wybierz przycisk OK , aby zamknąć okno Wpis uprawnień .

16. W oknie Zaawansowane ustawienia zabezpieczeń wybierz pozycję Zastosuj lub OK , aby zastosować zmiany.

Starszy łącznik

Celem łącznika Intune dla usługi Active Directory jest dołączenie komputerów do domeny i dodanie ich do jednostki organizacyjnej. Z tego powodu serwer z uruchomionym łącznikiem Intune dla usługi Active Directory musi mieć uprawnienia do tworzenia kont komputerów w jednostce organizacyjnej, do której komputery są przyłączone do domeny lokalnej.

W przypadku uprawnień domyślnych w usłudze Active Directory sprzężenia domeny przez łącznik Intune dla usługi Active Directory mogą początkowo działać bez żadnych modyfikacji uprawnień do jednostki organizacyjnej w usłudze Active Directory. Jednak po tym, jak serwer z uruchomionym łącznikiem Intune dla usługi Active Directory podejmie próbę dołączenia ponad 10 komputerów do domeny lokalnej, przestanie działać, ponieważ domyślnie usługa Active Directory zezwala na dołączanie maksymalnie 10 komputerów do domeny lokalnej przez dowolne pojedyncze konto.

Ograniczenie 10 przyłączeń do domeny komputera nie ogranicza następujących użytkowników:

• Użytkownicy w grupach Administratorzy lub Administratorzy domeny — w celu zachowania zgodności z modelem zasad najniższych uprawnień firma Microsoft nie zaleca, aby konto komputera z uruchomionym łącznikiem Intune Connector dla usługi Active Directory było administratorem lub administratorem domeny.
• Użytkownicy z uprawnieniami delegowanymi do jednostki organizacyjnej (OU) i kontenerów w usłudze Active Directory do tworzenia kont komputerów — ta metoda jest zalecana, ponieważ jest zgodna z modelem zasad najniższych uprawnień.

Aby rozwiązać ten problem, serwer z uruchomionym łącznikiem Intune dla usługi Active Directory musi mieć uprawnienie Tworzenie kont komputerów w jednostce organizacyjnej (OU), do której komputery są przyłączone w domenie lokalnej:

Aby zwiększyć limit konta komputera w jednostce organizacyjnej (OU), do których komputery dołączają podczas rozwiązania Windows Autopilot, wykonaj następujące kroki na komputerze z dostępem do konsoli Użytkownicy i komputery usługi Active Directory:

1. Otwórz konsolę Użytkownicy i komputery usługi Active Directory, uruchamiając plik DSA.msc.

2. Rozwiń żądaną domenę i przejdź do jednostki organizacyjnej (OU), do którą komputery dołączają podczas rozwiązania Windows Autopilot.

   Uwaga

   Jednostka organizacyjna dołączana przez komputery podczas wdrażania rozwiązania Windows Autopilot jest określona później podczas kroku Konfigurowanie i przypisywanie profilu przyłączania do domeny .

3. Kliknij prawym przyciskiem myszy jednostkę organizacyjną i wybierz pozycję Deleguj kontrolkę.

   Uwaga

   Jeśli komputery dołączają do domyślnego kontenera Komputery zamiast jednostki organizacyjnej, kliknij prawym przyciskiem myszy kontener Komputery i wybierz pozycję Deleguj kontrolę.

4. W oknie Kreator delegowania kontrolek Kreatoradelegowania kontrolek wybierz pozycję Dalej.

5. W oknie Użytkownicy lub grupy w obszarze Wybrani użytkownicy i grupy wybierz pozycję Dodaj.

6. Obok pozycji Wybierz ten typ obiektu: w oknie Wybieranie użytkowników, komputerów lub grup wybierz pozycję Typy obiektów.

7. W oknie Typy obiektów zaznacz pole wyboru Komputery , a następnie wybierz przycisk OK. Pozostałe elementy w tym oknie można pozostawić domyślnie.

8. W oknie Wybieranie użytkowników, komputerów lub grup w polu Wprowadź nazwy obiektów do wybrania wprowadź nazwę komputera, na którym zainstalowano łącznik Intune dla usługi Active Directory podczas kroku Instalowanie łącznika Intune.

9. Wybierz pozycję Sprawdź nazwy , aby zweryfikować wpis. Po zweryfikowaniu wpisu wybierz przycisk OK.

10. W oknie Użytkownicy lub grupy sprawdź, czy prawidłowy komputer jest wyświetlany w obszarze Wybrani użytkownicy i grupy:, a następnie wybierz przycisk Dalej.

11. W oknie Zadania do delegowania wybierz pozycję Utwórz zadanie niestandardowe do delegowania, a następnie wybierz pozycję Dalej.

12. W oknie Typ obiektu usługi Active Directory :

    1. Wybierz w folderze tylko następujące obiekty.

    2. W obszarze Tylko następujące obiekty w folderze wybierz pozycję Obiekty komputera.

    3. Zaznacz pole wyboru Utwórz zaznaczone obiekty w tym folderze .

    4. Wybierz pozycję Dalej.

13. W oknie Uprawnienia w obszarze Uprawnienia:zaznacz pole wyboru Pełna kontrola , a następnie wybierz pozycję Dalej.

    Uwaga

    Po zaznaczeniu pola wyboru Pełna kontrola wszystkie inne opcje w obszarze Uprawnienia: są wybierane automatycznie. Automatyczne zaznaczenie pól wyboru jest normalne i oczekiwane. Nie usuwaj zaznaczenia żadnego z pól wyboru po ich automatycznym zaznaczeniu.

14. W oknie Kończenie delegowania Kreatora sterowania wybierz pozycję Zakończ.

Następny krok: Rejestrowanie urządzeń jako urządzeń z rozwiązaniem Windows Autopilot

Krok 4. Rejestrowanie urządzeń jako urządzeń z rozwiązaniem Windows Autopilot

Zawartość pokrewna

Aby uzyskać więcej informacji na temat zwiększania limitu konta komputera w jednostce organizacyjnej, zobacz następujące artykuły:

• Zwiększ limit konta komputera w jednostce organizacyjnej.
• Domyślny limit liczby stacji roboczych, do których użytkownik może dołączyć do domeny.
• Dodaj stacje robocze do domeny.