Användardriven Microsoft Entra hybridanslutning: Öka gränsen för datorkonton i organisationsenheten (OU)

• Gäller för:

  ✅ Windows 11, ✅ Windows 10

Användardrivna windows Autopilot-Microsoft Entra hybridanslutningssteg:

• Steg 1: Konfigurera automatisk registrering av Windows Intune
• Steg 2: Installera Intune Connector

• Steg 3: Öka gränsen för datorkontot i organisationsenheten (OU)

• Steg 4: Registrera enheter som Windows Autopilot-enheter
• Steg 5: Skapa en enhetsgrupp
• Steg 6: Konfigurera och tilldela Registreringsstatussida för Windows Autopilot (ESP)
• Steg 7: Skapa och tilldela Microsoft Entra Hybrid Join Windows Autopilot-profil
• Steg 8: Konfigurera och tilldela domänanslutningsprofil
• Steg 9: Tilldela Windows Autopilot-enhet till en användare (valfritt)
• Steg 10: Distribuera enheten

En översikt över användardrivna Windows Autopilot-Microsoft Entra hybridanslutningsarbetsflöde finns i Översikt över användardrivna Windows Autopilot-Microsoft Entra hybridanslutningar.

Obs!

Om datorkontogränsen för rätt organisationsenhet (OU) redan har ökat hoppar du över det här steget och går vidare till Steg 4: Registrera enheter som Windows Autopilot-enheter.

Öka datorkontogränsen i organisationsenheten (OU)

Uppdaterad anslutningsapp

Viktigt

Det här steget behövs bara under något av följande villkor:

• Administratören som installerade och konfigurerade Intune Connector för Active Directory hade inte rätt rättigheter enligt beskrivningen i Intune Connector för Active Directory-krav.
• ODJConnectorEnrollmentWizard.exe.config XML-filen ändrades inte för att lägga till organisationsenheter som MSA ska ha behörighet för.

Syftet med Intune Connector för Active Directory är att ansluta datorer till en domän och lägga till dem i en organisationsenhet. Därför måste det hanterade tjänstkonto (MSA) som används för Intune Connector för Active Directory ha behörighet att skapa datorkonton i organisationsenheten där datorerna är anslutna till den lokala domänen.

Med standardbehörigheter i Active Directory kan domänanslutningar av Intune Connector för Active Directory till en början fungera utan några behörighetsändringar av organisationsenheten i Active Directory. Men när MSA försöker ansluta fler än 10 datorer till den lokala domänen skulle det sluta fungera eftersom Active Directory som standard endast tillåter att ett enskilt konto ansluter upp till 10 datorer till den lokala domänen.

Följande användare begränsas inte av begränsningen för 10 datordomänanslutningar:

• Användare i grupperna Administratörer eller Domänadministratörer: Microsoft rekommenderar inte att MSA blir administratör eller domänadministratör för att uppfylla modellen med lägsta behörighetsprinciper.
• Användare med delegerade behörigheter för organisationsenhet (ORGANISATION) och containrar i Active Directory för att skapa datorkonton: Den här metoden rekommenderas eftersom den följer modellen med lägsta behörighetsprinciper.

För att åtgärda den här begränsningen behöver MSA behörigheten Skapa datorkonton i organisationsenheten (OU) där datorerna är anslutna till i den lokala domänen. Intune Connector för Active Directory anger behörigheterna för MSA:erna till organisationsenheterna så länge något av följande villkor uppfylls:

• Administratören som installerar Intune Connector för Active Directory har de behörigheter som krävs för att ange behörigheter för organisationsenheterna.
• Administratören som konfigurerar Intune Connector för Active Directory har de behörigheter som krävs för att ange behörigheter för organisationsenheterna.

Om administratören som installerar eller konfigurerar Intune Connector för Active Directory inte har de behörigheter som krävs för att ange behörigheter för organisationsenheterna måste följande steg följas:

1. Logga in på en dator som har åtkomst till Active Directory - användare och datorer-konsolen med ett konto som är nödvändiga behörigheter för att ange behörigheter för organisationsenheter.

2. Öppna Active Directory - användare och datorer-konsolen genom att köra DSA.msc.

3. Expandera den önskade domänen och navigera till den organisationsenhet (OU) som datorer ansluter till under Windows Autopilot.

   Obs!

   Organisationsenheten som datorer ansluter till under Windows Autopilot-distributionen anges senare under steget Konfigurera och tilldela domänanslutningsprofil .

4. Högerklicka på organisationsenheten och välj Egenskaper.

   Obs!

   Om datorer ansluter till standardcontainern Datorer i stället för en organisationsenhet högerklickar du på containern Datorer och väljer Delegera kontroll.

5. I de OU-egenskapsfönster som öppnas väljer du fliken Säkerhet .

6. På fliken Säkerhet väljer du Avancerat.

7. I fönstret Avancerade säkerhetsinställningar väljer du Lägg till.

8. I fönstret Behörighetspost , bredvid Huvudnamn, väljer du länken Välj ett huvudnamn .

9. I fönstret Välj användare, Dator, Tjänstkonto eller Grupp väljer du knappen Objekttyper... .

10. I fönstret Objekttyper markerar du kryssrutan Tjänstkonton och väljer sedan OK.

11. I fönstret Välj användare, Dator, Tjänstkonto eller Grupp under Ange det objektnamn som ska väljas anger du namnet på den MSA som används för Intune Connector för Active Directory.

    Tips

    MSA skapades under steget/avsnittet Installera Intune Connector för Active Directory och har namnformatet msaODJ##### där ##### är fem slumpmässiga tecken. Om MSA-namnet inte är känt följer du dessa steg för att hitta MSA-namnet:

    1. På den server som kör Intune Connector för Active Directory högerklickar du på Start-menyn och väljer sedan Datorhantering.
    2. I fönstret Datorhantering expanderar du Tjänster och program och väljer sedan Tjänster.
    3. Leta upp tjänsten med namnet Intune ODJConnector för Active Service i resultatfönstret. Namnet på MSA visas i kolumnen Logga in som .

12. Välj Kontrollera namn för att verifiera POSTEN MSA-namn. När posten har verifierats väljer du OK.

13. I fönstret Behörighetspost väljer du den nedrullningsbara menyn Gäller för: och väljer sedan Endast det här objektet.

14. Avmarkera alla objekt under Behörigheter och markera sedan endast kryssrutan Skapa datorobjekt .

15. Välj OK för att stänga fönstret Behörighetspost .

16. I fönstret Avancerade säkerhetsinställningar väljer du antingen Tillämpa eller OK för att tillämpa ändringarna.

Äldre anslutningsapp

Syftet med Intune Connector för Active Directory är att ansluta datorer till en domän och lägga till dem i en organisationsenhet. Därför måste servern som kör Intune Connector för Active Directory ha behörighet att skapa datorkonton i organisationsenheten där datorerna är anslutna till den lokala domänen.

Med standardbehörigheter i Active Directory kan domänanslutningar av Intune Connector för Active Directory till en början fungera utan några behörighetsändringar av organisationsenheten i Active Directory. Men när servern som kör Intune Connector för Active Directory försöker ansluta fler än 10 datorer till den lokala domänen, skulle den sluta fungera eftersom Active Directory som standard endast tillåter att ett enskilt konto ansluter upp till 10 datorer till den lokala domänen.

Följande användare begränsas inte av begränsningen för 10 datordomänanslutningar:

• Användare i grupperna Administratörer eller Domänadministratörer – För att uppfylla modellen med lägsta behörighetsprinciper rekommenderar Microsoft inte att datorkontot som kör Intune Connector för Active Directory blir administratör eller domänadministratör.
• Användare med delegerade behörigheter för organisationsenhet (ORGANISATION) och containrar i Active Directory för att skapa datorkonton – den här metoden rekommenderas eftersom den följer modellen med lägsta behörighetsprinciper.

För att åtgärda den här begränsningen behöver servern som kör Intune Connector för Active Directory behörigheten Skapa datorkonton i organisationsenheten (OU) där datorerna är anslutna till i den lokala domänen:

Om du vill öka datorkontogränsen i organisationsenheten (OU) som datorer ansluter till under Windows Autopilot följer du dessa steg på en dator som har åtkomst till Active Directory - användare och datorer-konsolen:

1. Öppna Active Directory - användare och datorer-konsolen genom att köra DSA.msc.

2. Expandera den önskade domänen och navigera till den organisationsenhet (OU) som datorer ansluter till under Windows Autopilot.

   Obs!

   Organisationsenheten som datorer ansluter till under Windows Autopilot-distributionen anges senare under steget Konfigurera och tilldela domänanslutningsprofil .

3. Högerklicka på organisationsenheten och välj Delegera kontroll.

   Obs!

   Om datorer ansluter till standardcontainern Datorer i stället för en organisationsenhet högerklickar du på containern Datorer och väljer Delegera kontroll.

4. I fönstret Välkommen till guiden Delegering av kontroll i guiden Delegering av kontroll väljer du Nästa.

5. I fönstret Användare eller grupper går du till Valda användare och grupper och väljer Lägg till.

6. Bredvid Välj den här objekttypen: I fönstret Välj användare, Datorer eller Grupper väljer du Objekttyper.

7. I fönstret Objekttyper markerar du kryssrutan Datorer och väljer sedan OK. De andra objekten i det här fönstret kan lämnas som standard.

8. I fönstret Välj användare, datorer eller grupper under rutan Ange objektnamn att välja anger du namnet på den dator där Intune Connector för Active Directory installerades under steget Installera Intune Connector.

9. Välj Kontrollera namn för att verifiera posten. När posten har verifierats väljer du OK.

10. I fönstret Användare eller grupper kontrollerar du att rätt dator visas under Valda användare och grupper:, och välj sedan Nästa.

11. I fönstret Uppgifter att delegera väljer du Skapa en anpassad uppgift att delegera och väljer sedan Nästa.

12. I fönstret Active Directory-objekttyp :

    1. Välj Endast följande objekt i mappen.

    2. Under Endast följande objekt i mappen väljer du Datorobjekt.

    3. Markera kryssrutan Skapa markerade objekt i den här mappen .

    4. Välj Nästa.

13. I fönstret Behörigheter , under Behörigheter:, markerar du kryssrutan Fullständig kontroll och väljer sedan Nästa.

    Obs!

    När du har markerat kryssrutan Fullständig kontroll markeras alla andra alternativ under Behörigheter: automatiskt. Det automatiska valet av kryssrutorna är normalt och förväntat. Avmarkera inte någon av kryssrutorna när de har markerats automatiskt.

14. I fönstret Slutför guiden Delegering av kontroll väljer du Slutför.

Nästa steg: Registrera enheter som Windows Autopilot-enheter

Steg 4: Registrera enheter som Windows Autopilot-enheter

Relaterat innehåll

Mer information om hur du ökar gränsen för datorkonton i en organisationsenhet finns i följande artiklar:

• Öka datorkontogränsen i organisationsenheten.
• Standardgräns för antalet arbetsstationer som en användare kan ansluta till domänen.
• Lägg till arbetsstationer i domänen.