预预配Microsoft Entra 混合联接：提高组织单位 (OU) 中的计算机帐户限制

• 适用于:

  ✅ Windows 11, ✅ Windows 10

用于预预配部署的 Windows Autopilot Microsoft Entra 混合联接步骤：

• 步骤 1： 设置 Windows 自动 Intune 注册
• 步骤 2： 安装 Intune 连接器

• 步骤 3：提高组织单位 (OU) 中的计算机帐户限制

• 步骤 4： 将设备注册为 Autopilot 设备
• 步骤 5： 创建设备组
• 步骤 6： 配置和分配 Autopilot 注册状态页 (ESP)
• 步骤 7： 创建并分配Microsoft Entra 混合加入 Autopilot 配置文件
• 步骤 8： 配置和分配域加入配置文件
• 步骤 9： 将 Autopilot 设备分配给用户 (可选)
• 步骤 10： 技术人员流
• 步骤 11： 用户流

有关用于预预配部署的 Windows Autopilot Microsoft Entra 混合联接工作流的概述，请参阅 适用于预预配部署的 Windows Autopilot Microsoft Entra 混合联接概述。

注意

如果适当的组织单位 (OU) 的计算机帐户限制已增加，请跳过此步骤，转到 步骤 4：将设备注册为 Autopilot 设备。

提高组织单位 (OU) 中的计算机帐户限制

Intune 连接器的目的是在 Autopilot 过程中将计算机加入本地域。 Intune 连接器在域加入过程中在 Active Directory 的指定组织单位 (OU) 中创建计算机对象。 出于此原因，运行 Intune 连接器的服务器需要有权在 OU 中创建和删除计算机帐户，其中计算机已加入本地域。

使用 Active Directory 中的默认权限，Intune 连接器的域加入最初可能无需对 Active Directory 中的 OU 进行任何权限修改即可正常工作。 但是，在运行 Intune 连接器的服务器尝试将 10 台计算机加入本地域后，它将停止工作，因为默认情况下，Active Directory 仅允许任何一个帐户将最多 10 台计算机加入本地域。

以下用户不受 10 个计算机域加入限制的限制：

• “管理员”或“域管理员”组中的用户。
• 对组织单位 (OU 具有委派权限的用户) Active Directory 中的容器来创建和删除计算机帐户。

若要修复此限制，需要将运行 Intune 连接器的服务器委派到组织单位 (OU) ，其中计算机已加入本地域，以便：

• 创建计算机帐户。
• 删除计算机帐户。

Microsoft还建议专门设置这些权限，以防运行 Intune 连接器的服务器无权在 OU 中创建计算机，例如，修改默认权限。

若要在 Autopilot 期间提高计算机正在加入的组织单位 (OU) 的计算机帐户限制，请在有权访问 Active Directory 用户和计算机 控制台的计算机上执行以下步骤：

1. 通过运行 DSA.msc 打开 Active Directory 用户和计算机控制台。

2. 展开所需的域，导航到组织单位 (OU) 计算机在 Autopilot 期间加入。

   注意

   稍后在 配置和分配域加入配置文件 步骤中，将指定计算机在 Windows Autopilot 部署期间加入的 OU。

3. 右键单击 OU，然后选择“ 委托控件”。

   注意

   如果未指定 OU，并且计算机改为加入默认 计算机 容器，请右键单击“ 计算机 ”容器并选择“ 委托控制”。

4. 在“控件委派向导”的“欢迎使用控件委派向导”窗口中，选择“下一步”。

5. 在 “用户或组” 窗口中的 “所选用户和组”下，选择“ 添加”。

6. 在 “选择此对象类型”旁边： 在 “选择用户、计算机或组” 窗口中，选择“ 对象类型”。

7. 在 “对象类型” 窗口中，选中“ 计算机 ”复选框，然后选择“ 确定”。 此窗口中的其他项可以保留为默认值。

8. 在 “选择用户、计算机或组” 窗口中的“ 输入要选择的对象名称 ”框下，输入安装 Intune 连接器步骤期间安装了 Intune 连接器 的计算机的名称。

9. 选择“ 检查名称” 以验证条目。 验证条目后，选择“ 确定”。

10. 在 “用户或组” 窗口中，验证“ 所选用户和组：”下是否显示正确的计算机，然后选择“ 下一步”。

11. 在 “要委托的任务” 窗口中，选择“ 创建要委派的自定义任务”，然后选择“ 下一步”。

12. 在 “Active Directory 对象类型 ”窗口中：

    1. 在 文件夹中选择“仅以下对象”。

    2. 在“ 仅文件夹中的以下对象”下，选择“ 计算机对象”。

    3. 选中“ 在此文件夹中创建所选对象 ”和 “删除此文件夹中的选定对象 ”复选框。

    4. 选择“下一步”。

13. 在 “权限” 窗口中的 “权限：”下，选中“ 完全控制 ”复选框，然后选择“ 下一步”。

    注意

    选中“ 完全控制 ”复选框后，将自动选择 “权限：” 下的所有其他选项。 自动选择复选框是正常和预期的。 在自动选中任何复选框后，请勿取消选中这些复选框。

14. 在 “完成控件委派向导” 窗口中，选择“ 完成”。

下一步：将设备注册为 Autopilot 设备

步骤 4：将设备注册为 Autopilot 设备

相关内容

有关提高组织单位中的计算机帐户限制的详细信息，请参阅以下文章：

• 提高组织单位中的计算机帐户限制。
• 用户可加入域的工作站数的默认限制。
• 将工作站添加到域。