Предварительная подготовка Microsoft Entra гибридного присоединения: увеличьте лимит учетной записи компьютера в подразделении.

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

Windows Autopilot для предварительно подготовленного развертывания Microsoft Entra этапов гибридного присоединения:

• Шаг 1. Настройка автоматической регистрации windows Intune
• Шаг 2. Установка соединителя Intune

• Шаг 3. Увеличение лимита учетной записи компьютера в подразделении

• Шаг 4. Регистрация устройств в качестве устройств Windows Autopilot
• Шаг 5 . Создание группы устройств
• Шаг 6. Настройка и назначение страницы состояния регистрации Windows Autopilot (ESP)
• Шаг 7. Создание и назначение профиля Windows Autopilot для гибридного присоединения Microsoft Entra
• Шаг 8 . Настройка и назначение профиля присоединения к домену
• Шаг 9. Назначение устройства Windows Autopilot пользователю (необязательно)
• Шаг 10. Поток техники
• Шаг 11. Поток пользователя

Общие сведения о windows Autopilot для предварительно подготовленного развертывания Microsoft Entra рабочего процесса гибридного присоединения см. в статье Windows Autopilot для предварительно подготовленного развертывания Microsoft Entra общие сведения о гибридном присоединении.

Примечание.

Если ограничение учетной записи компьютера для соответствующего подразделения (OU) уже увеличено, пропустите этот шаг и перейдите к шагу 4. Регистрация устройств в качестве устройств Windows Autopilot.

Увеличение лимита учетной записи компьютера в подразделении

Обновленный соединитель

Важно!

Этот шаг необходим только при одном из следующих условий:

• Администратор, установив и настроив соединитель Intune для Active Directory, не имеет соответствующих прав, как описано в разделе Требования к соединителю Intune для Active Directory.
• ODJConnectorEnrollmentWizard.exe.config XML-файл не был изменен для добавления подразделений, для которых MSA должен иметь разрешения.

Цель соединителя Intune для Active Directory — присоединить компьютеры к домену и добавить их в подразделение. По этой причине у управляемой учетной записи службы (MSA), используемой для соединителя Intune для Active Directory, должны быть разрешения на создание учетных записей компьютеров в подразделении, где компьютеры присоединены к локальному домену.

При наличии разрешений по умолчанию в Active Directory присоединение к домену с помощью соединителя Intune для Active Directory может изначально работать без каких-либо изменений разрешений для подразделения в Active Directory. Однако после того, как MSA попытается присоединить более 10 компьютеров к локальному домену, она перестанет работать, так как по умолчанию Active Directory разрешает только одной учетной записи присоединить до 10 компьютеров к локальному домену.

Следующие пользователи не ограничены ограничением на присоединение к домену 10 компьютеров:

• Пользователи в группах "Администраторы" или "Администраторы домена". Для соблюдения принципов минимальных привилегий корпорация Майкрософт не рекомендует делать MSA администратором или администратором домена.
• Пользователи с делегированными разрешениями на подразделения и контейнеры в Active Directory для создания учетных записей компьютеров. Этот метод рекомендуется использовать, так как он соответствует модели минимальных привилегий.

Чтобы устранить это ограничение, MSA требуется разрешение Создание учетных записей компьютеров в подразделении, к которому присоединены компьютеры в локальном домене. Соединитель Intune для Active Directory задает разрешения для подразделений MSA при условии, что выполняется одно из следующих условий:

• Администратор, устанавливая соединитель Intune для Active Directory, имеет необходимые разрешения для установки разрешений на подразделения.
• Администратор, настроив соединитель Intune для Active Directory, имеет необходимые разрешения для установки разрешений на подразделения.

Если администратор, устанавливающий или настроивший соединитель Intune для Active Directory, не имеет необходимых разрешений для установки разрешений на подразделения, необходимо выполнить следующие действия.

1. Войдите на компьютер с доступом к консоли Пользователи и компьютеры Active Directory с учетной записью, которая является необходимыми разрешениями для установки разрешений на подразделения.

2. Откройте консоль Пользователи и компьютеры Active Directory, запустив DSA.msc.

3. Разверните нужный домен и перейдите к подразделению, к которому присоединяются компьютеры во время Windows Autopilot.

   Примечание.

   Подразделение, к которому присоединяются компьютеры во время развертывания Windows Autopilot, указывается позже на шаге Настройка и назначение профиля присоединения к домену .

4. Щелкните правой кнопкой мыши подразделение и выберите Свойства.

   Примечание.

   Если компьютеры присоединяются к контейнеру компьютеров по умолчанию вместо подразделения, щелкните правой кнопкой мыши контейнер Компьютеры и выберите пункт Делегировать управление.

5. В открывавшемся окне Свойства подразделения выберите вкладку Безопасность .

6. На вкладке Безопасность выберите Дополнительно.

7. В окне Дополнительные параметры безопасности выберите Добавить.

8. В окне Запись разрешений рядом с пунктом Субъект выберите ссылку Выбрать участника .

9. В окне Выбор пользователя, компьютера, учетной записи службы или группы нажмите кнопку Типы объектов...

10. В окне Типы объектов выберите поле Учетные записи служб проверка и нажмите кнопку ОК.

11. В окне Выбор пользователя, компьютера, учетной записи службы или группы в разделе Введите имя выбранного объекта введите имя MSA, используемого для соединителя Intune для Active Directory.

    Совет

    MsA был создан на шаге или разделе Установка соединителя Intune для Active Directory и имеет формат msaODJ##### имени, где ##### это пять случайных символов. Если имя MSA неизвестно, выполните следующие действия, чтобы найти имя MSA:

    1. На сервере, на котором запущен соединитель Intune для Active Directory, щелкните правой кнопкой мыши меню Пуск и выберите пункт Управление компьютером.
    2. В окне Управление компьютером разверните узел Службы и приложения , а затем выберите Службы.
    3. В области результатов найдите службу с именем Intune ODJConnector для активной службы. Имя MSA указано в столбце Log On As (Вход в систему от имени ).

12. Выберите Проверить имена , чтобы проверить запись имени MSA. После проверки записи нажмите кнопку ОК.

13. В окне Запись разрешений выберите раскрывающееся меню Применимо к: и выберите Только этот объект.

14. В разделе Разрешения снимите флажок все элементы, а затем выберите только поле Создать объекты-компьютеры проверка.

15. Нажмите кнопку ОК , чтобы закрыть окно Запись разрешений .

16. В окне Дополнительные параметры безопасности выберите Применить или ОК , чтобы применить изменения.

Устаревший соединитель

Цель соединителя Intune для Active Directory — присоединить компьютеры к домену и добавить их в подразделение. По этой причине сервер, на котором запущен соединитель Intune для Active Directory, должен иметь разрешения на создание учетных записей компьютеров в подразделении, где компьютеры присоединены к локальному домену.

При наличии разрешений по умолчанию в Active Directory присоединение к домену с помощью соединителя Intune для Active Directory может изначально работать без каких-либо изменений разрешений для подразделения в Active Directory. Однако после того, как сервер, на котором запущен соединитель Intune для Active Directory, попытается присоединить более 10 компьютеров к локальному домену, он перестанет работать, так как по умолчанию Active Directory разрешает присоединение к локальному домену только одной учетной записи до 10 компьютеров.

Следующие пользователи не ограничены ограничением на присоединение к домену 10 компьютеров:

• Пользователи в группах "Администраторы" или "Администраторы домена". Для соблюдения принципов минимальных привилегий корпорация Майкрософт не рекомендует делать учетную запись компьютера, на которой запущен соединитель Intune для Active Directory, администратором или администратором домена.
• Пользователям с делегированными разрешениями на подразделения и контейнеры в Active Directory для создания учетных записей компьютеров рекомендуется использовать этот метод, так как он соответствует модели минимальных привилегий.

Чтобы устранить это ограничение, серверу, на котором запущен соединитель Intune для Active Directory, требуется разрешение Создание учетных записей компьютеров в подразделении, к которому присоединены компьютеры в локальном домене:

Чтобы увеличить ограничение учетной записи компьютера в подразделении, к которому присоединяются компьютеры во время Windows Autopilot, выполните следующие действия на компьютере с доступом к консоли Пользователи и компьютеры Active Directory.

1. Откройте консоль Пользователи и компьютеры Active Directory, запустив DSA.msc.

2. Разверните нужный домен и перейдите к подразделению, к которому присоединяются компьютеры во время Windows Autopilot.

   Примечание.

   Подразделение, к которому присоединяются компьютеры во время развертывания Windows Autopilot, указывается позже на шаге Настройка и назначение профиля присоединения к домену .

3. Щелкните правой кнопкой мыши подразделение и выберите пункт Делегировать управление.

   Примечание.

   Если компьютеры присоединяются к контейнеру компьютеров по умолчанию вместо подразделения, щелкните правой кнопкой мыши контейнер Компьютеры и выберите пункт Делегировать управление.

4. В окне Мастер делегирования элементов управлениямастера делегирования элементов управления нажмите кнопку Далее.

5. В окне Пользователи или группы в разделе Выбранные пользователи и группы выберите Добавить.

6. Рядом с полем Выберите этот тип объекта: в окне Выбор пользователей, компьютеров или групп выберите Типы объектов.

7. В окне Типы объектов выберите поле Компьютеры проверка и нажмите кнопку ОК. Другие элементы в этом окне можно оставить по умолчанию.

8. В окне Выбор пользователей, компьютеров или групп в поле Введите имена объектов для выбора введите имя компьютера, на котором был установлен соединитель Intune для Active Directory во время шага Установка соединителя Intune.

9. Выберите Проверить имена , чтобы проверить запись. После проверки записи нажмите кнопку ОК.

10. В окне Пользователи или группы убедитесь, что в разделе Выбранные пользователи и группы отображается правильный компьютер, а затем нажмите кнопку Далее.

11. В окне Задачи для делегирования выберите Создать пользовательскую задачу для делегирования, а затем нажмите кнопку Далее.

12. В окне Тип объекта Active Directory :

    1. Выберите в папке только следующие объекты.

    2. В разделе Только следующие объекты в папке выберите Объекты компьютеров.

    3. Установите флажок Создать выбранные объекты в этой папке .

    4. Нажмите кнопку Далее.

13. В окне Разрешения в разделе Разрешения: выберите поле Полный доступ проверка, а затем нажмите кнопку Далее.

    Примечание.

    После выбора поля Полный доступ проверка все остальные параметры в разделе Разрешения: будут автоматически выбраны. Автоматическое установка флажков является нормальным и ожидаемым. Не отменяйте выбор полей проверка после автоматического выбора.

14. В окне Завершение работы мастера делегирования элементов управления нажмите кнопку Готово.

Следующий шаг: Регистрация устройств в качестве устройств Windows Autopilot

Шаг 4. Регистрация устройств в качестве устройств Windows Autopilot

Связанные материалы

Дополнительные сведения об увеличении лимита учетной записи компьютера в подразделении см. в следующих статьях:

• Увеличьте лимит учетной записи компьютера в подразделении.
• Ограничение по умолчанию на количество рабочих станций, которые пользователь может присоединить к домену.
• Добавление рабочих станций в домен.