Dela via


Användardriven Microsoft Entra hybridanslutning: Öka gränsen för datorkonton i organisationsenheten (OU)

Användardrivna windows Autopilot-Microsoft Entra hybridanslutningssteg:

  • Steg 3: Öka gränsen för datorkontot i organisationsenheten (OU)

En översikt över användardrivna Windows Autopilot-Microsoft Entra hybridanslutningsarbetsflöde finns i Översikt över användardrivna Windows Autopilot-Microsoft Entra hybridanslutningar.

Obs!

Om datorkontogränsen för rätt organisationsenhet (OU) redan har ökat hoppar du över det här steget och går vidare till Steg 4: Registrera enheter som Windows Autopilot-enheter.

Öka datorkontogränsen i organisationsenheten (OU)

Viktigt

Det här steget behövs bara under något av följande villkor:

  • Administratören som installerade och konfigurerade Intune Connector för Active Directory hade inte rätt rättigheter enligt beskrivningen i Intune Connector för Active Directory-krav.
  • ODJConnectorEnrollmentWizard.exe.config XML-filen ändrades inte för att lägga till organisationsenheter som MSA ska ha behörighet för.

Syftet med Intune Connector för Active Directory är att ansluta datorer till en domän och lägga till dem i en organisationsenhet. Därför måste det hanterade tjänstkonto (MSA) som används för Intune Connector för Active Directory ha behörighet att skapa datorkonton i organisationsenheten där datorerna är anslutna till den lokala domänen.

Med standardbehörigheter i Active Directory kan domänanslutningar av Intune Connector för Active Directory till en början fungera utan några behörighetsändringar av organisationsenheten i Active Directory. Men när MSA försöker ansluta fler än 10 datorer till den lokala domänen skulle det sluta fungera eftersom Active Directory som standard endast tillåter att ett enskilt konto ansluter upp till 10 datorer till den lokala domänen.

Följande användare begränsas inte av begränsningen för 10 datordomänanslutningar:

  • Användare i grupperna Administratörer eller Domänadministratörer: Microsoft rekommenderar inte att MSA blir administratör eller domänadministratör för att uppfylla modellen med lägsta behörighetsprinciper.
  • Användare med delegerade behörigheter för organisationsenhet (ORGANISATION) och containrar i Active Directory för att skapa datorkonton: Den här metoden rekommenderas eftersom den följer modellen med lägsta behörighetsprinciper.

För att åtgärda den här begränsningen behöver MSA behörigheten Skapa datorkonton i organisationsenheten (OU) där datorerna är anslutna till i den lokala domänen. Intune Connector för Active Directory anger behörigheterna för MSA:erna till organisationsenheterna så länge något av följande villkor uppfylls:

  • Administratören som installerar Intune Connector för Active Directory har de behörigheter som krävs för att ange behörigheter för organisationsenheterna.
  • Administratören som konfigurerar Intune Connector för Active Directory har de behörigheter som krävs för att ange behörigheter för organisationsenheterna.

Om administratören som installerar eller konfigurerar Intune Connector för Active Directory inte har de behörigheter som krävs för att ange behörigheter för organisationsenheterna måste följande steg följas:

  1. Logga in på en dator som har åtkomst till Active Directory - användare och datorer-konsolen med ett konto som är nödvändiga behörigheter för att ange behörigheter för organisationsenheter.

  2. Öppna Active Directory - användare och datorer-konsolen genom att köra DSA.msc.

  3. Expandera den önskade domänen och navigera till den organisationsenhet (OU) som datorer ansluter till under Windows Autopilot.

    Obs!

    Organisationsenheten som datorer ansluter till under Windows Autopilot-distributionen anges senare under steget Konfigurera och tilldela domänanslutningsprofil .

  4. Högerklicka på organisationsenheten och välj Egenskaper.

    Obs!

    Om datorer ansluter till standardcontainern Datorer i stället för en organisationsenhet högerklickar du på containern Datorer och väljer Delegera kontroll.

  5. I de OU-egenskapsfönster som öppnas väljer du fliken Säkerhet .

  6. På fliken Säkerhet väljer du Avancerat.

  7. I fönstret Avancerade säkerhetsinställningar väljer du Lägg till.

  8. I fönstret Behörighetspost , bredvid Huvudnamn, väljer du länken Välj ett huvudnamn .

  9. I fönstret Välj användare, Dator, Tjänstkonto eller Grupp väljer du knappen Objekttyper... .

  10. I fönstret Objekttyper markerar du kryssrutan Tjänstkonton och väljer sedan OK.

  11. I fönstret Välj användare, Dator, Tjänstkonto eller Grupp under Ange det objektnamn som ska väljas anger du namnet på den MSA som används för Intune Connector för Active Directory.

    Tips

    MSA skapades under steget/avsnittet Installera Intune Connector för Active Directory och har namnformatet msaODJ##### där ##### är fem slumpmässiga tecken. Om MSA-namnet inte är känt följer du dessa steg för att hitta MSA-namnet:

    1. På den server som kör Intune Connector för Active Directory högerklickar du på Start-menyn och väljer sedan Datorhantering.
    2. I fönstret Datorhantering expanderar du Tjänster och program och väljer sedan Tjänster.
    3. Leta upp tjänsten med namnet Intune ODJConnector för Active Service i resultatfönstret. Namnet på MSA visas i kolumnen Logga in som .
  12. Välj Kontrollera namn för att verifiera POSTEN MSA-namn. När posten har verifierats väljer du OK.

  13. I fönstret Behörighetspost väljer du den nedrullningsbara menyn Gäller för: och väljer sedan Endast det här objektet.

  14. Avmarkera alla objekt under Behörigheter och markera sedan endast kryssrutan Skapa datorobjekt .

  15. Välj OK för att stänga fönstret Behörighetspost .

  16. I fönstret Avancerade säkerhetsinställningar väljer du antingen Tillämpa eller OK för att tillämpa ändringarna.

Nästa steg: Registrera enheter som Windows Autopilot-enheter

Mer information om hur du ökar gränsen för datorkonton i en organisationsenhet finns i följande artiklar: