预预配Microsoft Entra混合加入:提高组织单位中的计算机帐户限制 (OU)
用于预预配部署的 Windows Autopilot Microsoft Entra混合联接步骤:
- 步骤 1:设置 Windows 自动Intune注册
- 步骤 2:安装Intune连接器
- 步骤 3:提高组织单位 (OU) 中的计算机帐户限制
- 步骤 4: 将设备注册为 Windows Autopilot 设备
- 步骤 5: 创建设备组
- 步骤 6: 配置和分配 Windows Autopilot 注册状态页 (ESP)
- 步骤 7:创建和分配Microsoft Entra混合加入 Windows Autopilot 配置文件
- 步骤 8: 配置和分配域加入配置文件
- 步骤 9: 将 Windows Autopilot 设备分配给用户 (可选)
- 步骤 10: 技术人员流
- 步骤 11: 用户流
有关预预配部署Microsoft Entra混合加入工作流的 Windows Autopilot 概述,请参阅 Windows Autopilot for pre-provisioned deployment Microsoft Entra混合联接概述。
注意
如果适当的组织单位 (OU) 的计算机帐户限制已增加,请跳过此步骤,转到 步骤 4:将设备注册为 Windows Autopilot 设备。
提高组织单位 (OU) 中的计算机帐户限制
更新的连接器重要
只有在以下情况之一时才需要此步骤:
- 安装并配置 Intune 连接器 for Active Directory 的管理员没有Intune连接器 Active Directory 要求中所述的相应权限。
-
ODJConnectorEnrollmentWizard.exe.configXML 文件未修改为添加 MSA 应具有其权限的 OU。
Intune连接器 for Active Directory 的目的是将计算机加入域并将其添加到 OU。 因此,用于 Active Directory Intune连接器的托管服务帐户 (MSA) 需要有权在计算机加入本地域的 OU 中创建计算机帐户。
使用 Active Directory 中的默认权限时,Active Directory Intune连接器的域加入最初可能无需对 Active Directory 中的 OU 进行任何权限修改即可正常工作。 但是,在 MSA 尝试将 10 台计算机加入本地域后,它将停止工作,因为默认情况下,Active Directory 仅允许任何单个帐户将最多 10 台计算机加入本地域。
以下用户不受 10 个计算机域加入限制的限制:
- 管理员或域管理员组中的用户:为了遵守最低特权原则模型,Microsoft不建议将 MSA 设置为管理员或域管理员。
- 对组织单位具有委派权限的用户 (OU) 和容器在 Active Directory 中创建计算机帐户:建议使用此方法,因为它遵循最低特权原则模型。
若要修复此限制,MSA 需要在本地域中将计算机加入到的组织单位 (OU) 中创建计算机帐户 权限。 只要满足以下条件之一,Active Directory Intune连接器会将 MSA 的权限设置为 OU:
- 安装 Intune 连接器 for Active Directory 的管理员具有设置 OU 权限所需的权限。
- 配置 active Directory Intune 连接器的管理员具有设置 OU 权限所需的权限。
如果安装或配置 active Directory Intune连接器的管理员没有设置 OU 权限所需的权限,则需要执行以下步骤:
使用一个帐户登录到有权访问 Active Directory 用户和计算机 控制台的计算机,该帐户是设置 OU 权限的必要权限。
通过运行 DSA.msc 打开Active Directory 用户和计算机控制台。
展开所需的域,导航到计算机在 Windows Autopilot 期间加入的组织单位 (OU) 。
注意
稍后在 配置和分配域加入配置文件 步骤中,将指定计算机在 Windows Autopilot 部署期间加入的 OU。
右键单击 OU 并选择 “属性”。
注意
如果计算机正在加入默认 的“计算机” 容器而不是 OU,请右键单击“ 计算机 ”容器,然后选择“ 委托控制”。
在打开的“OU 属性” 窗口中,选择“ 安全性 ”选项卡。
在“ 安全性 ”选项卡中,选择“ 高级”。
在 “高级安全设置” 窗口中,选择“ 添加”。
在 “权限输入” 窗口的 “主体”旁边,选择“ 选择主体” 链接。
在 “选择用户、计算机、服务帐户或组 ”窗口中,选择“ 对象类型...” 按钮。
在“对象类型”窗口中,选择“服务帐户检查”框,然后选择“确定”。
在“选择用户、计算机、服务帐户或组”窗口中,在“输入要选择的对象名称”下,输入用于 Active Directory Intune 连接器的 MSA 的名称。
提示
MSA 是在安装 active Directory Intune连接器步骤/节期间创建的,其名称格式
msaODJ##########为 5 个随机字符。 如果 MSA 名称未知,请按照以下步骤查找 MSA 名称:- 在运行 Intune 连接器 for Active Directory 的服务器上,右键单击“开始”菜单,然后选择“计算机管理”。
- 在 “计算机管理 ”窗口中,展开“ 服务和应用程序” ,然后选择“ 服务”。
- 在结果窗格中,找到名称Intune ODJConnector for Active Service 的服务。 MSA 的名称列在 “登录为 ”列中。
选择“ 检查名称” 以验证 MSA 名称条目。 验证条目后,选择“ 确定”。
在 “权限条目 ”窗口中,选择“ 应用于: ”下拉菜单,然后选择“ 仅此对象”。
在“权限”下,取消选择所有项,然后仅选中“检查创建计算机对象”框。
选择 “确定” 以关闭 “权限输入” 窗口。
在 “高级安全设置” 窗口中,选择“ 应用 ”或“ 确定” 以应用更改。
下一步:将设备注册为 Windows Autopilot 设备
相关内容
有关提高组织单位中的计算机帐户限制的详细信息,请参阅以下文章: