Uživatelem řízené Microsoft Entra hybridní připojení: Zvýšení limitu účtu počítače v organizační jednotce (OU)

Windows Autopilot řízený uživatelem Microsoft Entra kroky hybridního připojení:

• Krok 1: Nastavení automatické registrace Windows v Intune
• Krok 2: Instalace konektoru Intune pro Active Directory

• Krok 3: Zvýšení limitu účtu počítače v organizační jednotce (OU)

• Krok 4: Registrace zařízení jako zařízení Windows Autopilot
• Krok 5: Vytvoření skupiny zařízení
• Krok 6: Konfigurace a přiřazení stránky stavu registrace windows Autopilotu (ESP)
• Krok 7: Vytvoření a přiřazení profilu windows Autopilotu Microsoft Entra hybridního připojení
• Krok 8: Konfigurace a přiřazení profilu připojení k doméně
• Krok 9: Přiřazení zařízení Windows Autopilot uživateli (volitelné)
• Krok 10: Nasazení zařízení

Přehled pracovního postupu windows Autopilotu řízeného uživatelem Microsoft Entra hybridního připojení najdete v přehledu windows Autopilotu řízeného uživatelem Microsoft Entra hybridního připojení.

Poznámka

Pokud už je limit účtu počítače pro správnou organizační jednotku (OU) vyšší, přeskočte tento krok a přejděte ke kroku 4: Registrace zařízení jako zařízení Windows Autopilot.

Zvýšení limitu účtu počítače v organizační jednotce (OU)

Aktualizovaný konektor

Důležité

Tento krok je nutný pouze za jedné z následujících podmínek:

• Správce, který nainstaloval a nakonfiguroval Intune Connector pro Active Directory, neměl odpovídající práva, jak je uvedeno v tématu Intune Connector for Active Directory Requirements.
• Správce, který nainstaloval a nakonfiguroval Intune Connector, měl příslušná práva, jak je popsáno výše, ale účtu spravované služby (MSA) se nepodařilo udělit oprávnění k vytváření počítačových objektů v organizačních jednotkách zadaných během instalace konektoru Intune. Další informace najdete v tématu Konfigurace nového konektoru Microsoft Intune pro Službu Active Directory s nejnižším principem oprávnění.
• Soubor ODJConnectorEnrollmentWizard.exe.config XML nebyl upraven tak, aby přidával organizační objekty, pro které by měl mít správce msa oprávnění.

Účelem konektoru Intune pro Active Directory je připojit počítače k doméně a přidat je do organizační jednotky. Z tohoto důvodu musí mít účet spravované služby používaný pro Konektor Intune pro Službu Active Directory oprávnění k vytváření účtů počítačů v organizační jednotky, kde jsou počítače připojené k místní doméně.

S výchozími oprávněními ve službě Active Directory můžou připojení k doméně konektorem Intune pro Službu Active Directory zpočátku fungovat bez jakýchkoli úprav oprávnění organizační jednotky ve službě Active Directory. Poté, co se microsoft microsoft pokusí připojit více než 10 počítačů k místní doméně, ale přestane fungovat, protože ve výchozím nastavení služba Active Directory umožňuje připojit k místní doméně pouze jeden účet až 10 počítačů.

Následující uživatelé nejsou omezeni omezením 10 připojení k doméně počítače:

• Uživatelé ve skupinách Správci nebo Správci domény: Aby bylo možné dodržet model s nejnižšími oprávněními, microsoft nedoporučuje, aby byl správcem msa nebo správcem domény.
• Uživatelé s delegovanými oprávněními k organizační jednotce a kontejnerům ve službě Active Directory k vytváření účtů počítačů: Tato metoda se doporučuje, protože se řídí modelem principů nejnižších oprávnění.

Aby bylo toto omezení opraveno, potřebuje správce msa oprávnění k vytváření účtů počítačů v organizační jednotce(OU), ke které jsou počítače v místní doméně připojené. Konektor Intune pro Službu Active Directory nastaví oprávnění pro msa na organizační jednotce za předpokladu, že je splněna jedna z následujících podmínek:

• Správce, který instaluje Intune Connector pro Active Directory, má potřebná oprávnění k nastavení oprávnění k organizačním jednotce.
• Správce konfigurující konektor Intune pro Službu Active Directory má potřebná oprávnění k nastavení oprávnění u organizačních jednotek.

Pokud správce, který instaluje nebo konfiguruje Intune Connector pro Službu Active Directory, nemá potřebná oprávnění k nastavení oprávnění u organizačních jednotek, je potřeba postupovat podle následujících kroků:

1. Přihlaste se k počítači, který má přístup ke konzole Uživatelé a počítače služby Active Directory pomocí účtu, který má potřebná oprávnění k nastavení oprávnění u organizačních jednotek.

2. Otevřete konzolu Uživatelé a počítače služby Active Directory spuštěním příkazu DSA.msc.

3. Rozbalte požadovanou doménu a přejděte k organizační jednotce(OU), ke které se počítače připojují během windows Autopilotu.

   Poznámka

   Organizační jednotka, ke které se počítače připojí během nasazení Windows Autopilotu, se zadává později během kroku Konfigurace a přiřazení profilu připojení k doméně .

4. Klikněte pravým tlačítkem na organizační jednotky a vyberte Vlastnosti.

   Poznámka

   Pokud počítače místo organizační jednotky připojují výchozí kontejner Počítače , klikněte pravým tlačítkem na kontejner Počítače a vyberte Delegovat řízení.

5. V okně Vlastnosti organizační jednotky, které se otevře, vyberte kartu Zabezpečení .

6. Na kartě Zabezpečení vyberte Upřesnit.

7. V okně Upřesnit nastavení zabezpečení vyberte Přidat.

8. V oknech Položka oprávnění vedle položky Objekt zabezpečení vyberte odkaz Vybrat objekt zabezpečení .

9. V okně Vybrat uživatele, počítač, účet služby nebo skupinu vyberte tlačítko Typy objektů .

10. V okně Typy objektů zaškrtněte políčko Účty služeb a pak vyberte OK.

11. V okně Vybrat uživatele, počítač, účet služby nebo skupinu zadejte v části Zadejte název objektu, který chcete vybrat, název MSA, který se používá pro konektor Intune pro Službu Active Directory.

    Tip

    Účet MSA se vytvořil během kroku/části Instalace konektoru Intune pro Active Directory a má formát názvu, ve kterém ##### je pět náhodných msaODJ##### znaků. Pokud název MSA není známý, vyhledejte ho následujícím postupem:

    1. Na serveru, na kterém běží Intune Connector for Active Directory, klikněte pravým tlačítkem na nabídku Start a pak vyberte Správa počítače.
    2. V okně Správa počítače rozbalte položku Služby a aplikace a pak vyberte Služby.
    3. V podokně výsledků vyhledejte službu s názvem Intune ODJConnector pro Active Service. Název msa je uvedený ve sloupci Přihlásit se jako .

12. Vyberte Zkontrolovat názvy a ověřte položku názvu MSA. Po ověření položky vyberte OK.

13. V oknech Položka oprávnění vyberte rozevírací nabídku Platí pro: a pak vyberte Pouze tento objekt.

14. V části Oprávnění zrušte výběr všech položek a pak zaškrtněte pouze políčko Vytvořit objekty počítače .

15. Výběrem OK zavřete okno Položka oprávnění .

16. V okně Upřesnit nastavení zabezpečení vyberte Použít nebo OK , aby se změny použily.

Starší verze konektoru

Účelem konektoru Intune pro Active Directory je připojit počítače k doméně a přidat je do organizační jednotky. Z tohoto důvodu musí mít server se spuštěným konektorem Intune pro Službu Active Directory oprávnění k vytváření účtů počítačů v organizační jednotky, kde jsou počítače připojené k místní doméně.

S výchozími oprávněními ve službě Active Directory můžou připojení k doméně konektorem Intune pro Službu Active Directory zpočátku fungovat bez jakýchkoli úprav oprávnění organizační jednotky ve službě Active Directory. Poté, co se server, na kterém běží Intune Connector pro Službu Active Directory, pokusí připojit k místní doméně více než 10 počítačů, by ale přestal fungovat, protože ve výchozím nastavení služba Active Directory umožňuje připojení až 10 počítačů k místní doméně pouze jednomu účtu.

Následující uživatelé nejsou omezeni omezením 10 připojení k doméně počítače:

• Uživatelé ve skupinách Administrators nebo Domain Administrators – aby bylo možné dodržet model s nejnižšími oprávněními, microsoft nedoporučuje, aby byl účet počítače, na kterém běží Intune Connector pro Službu Active Directory, správcem nebo správcem domény.
• Uživatelé s delegovanými oprávněními k organizační jednotce a kontejnerům ve službě Active Directory k vytváření účtů počítačů – tato metoda se doporučuje, protože se řídí modelem principů nejnižších oprávnění.

Aby bylo toto omezení opraveno, potřebuje server, na kterém běží Intune Connector pro Službu Active Directory, oprávnění k vytváření účtů počítačů v organizační jednotce (OU), ke které jsou počítače v místní doméně připojené:

Chcete-li zvýšit limit účtu počítače v organizační jednotce (OU), ke které se počítače připojují během programu Windows Autopilot, na počítači, který má přístup ke konzole Uživatelé a počítače služby Active Directory, postupujte takto:

1. Otevřete konzolu Uživatelé a počítače služby Active Directory spuštěním příkazu DSA.msc.

2. Rozbalte požadovanou doménu a přejděte k organizační jednotce(OU), ke které se počítače připojují během windows Autopilotu.

   Poznámka

   Organizační jednotka, ke které se počítače připojí během nasazení Windows Autopilotu, se zadává později během kroku Konfigurace a přiřazení profilu připojení k doméně .

3. Klikněte pravým tlačítkem na organizační jednotky a vyberte Delegovat řízení.

   Poznámka

   Pokud počítače místo organizační jednotky připojují výchozí kontejner Počítače , klikněte pravým tlačítkem na kontejner Počítače a vyberte Delegovat řízení.

4. V okně Vítá vás Průvodce delegováním ovládacího prvkuv Průvodci delegováním ovládacího prvku vyberte Další.

5. V okně Uživatelé nebo skupiny v části Vybraní uživatelé a skupiny vyberte Přidat.

6. Vedle možnosti Vybrat tento typ objektu: v okně Vybrat uživatele, počítače nebo skupiny vyberte Typy objektů.

7. V okně Typy objektů zaškrtněte políčko Počítače a pak vyberte OK. Ostatní položky v tomto okně mohou být ponechány ve výchozím nastavení.

8. V okně Vybrat uživatele, počítače nebo skupiny zadejte do pole Zadejte názvy objektů k výběru název počítače, na který byl konektor Intune pro Active Directory nainstalovaný během kroku Instalace konektoru Intune Pro Active Directory .

9. Výběrem možnosti Zkontrolovat jména položku ověřte. Po ověření položky vyberte OK.

10. V okně Uživatelé nebo skupiny ověřte, že se v části Vybraní uživatelé a skupiny zobrazuje správný počítač, a pak vyberte Další.

11. V okně Úkoly k delegování vyberte Vytvořit vlastní úkol k delegování a pak vyberte Další.

12. V okně Typ objektu služby Active Directory :

    1. Ve složce vyberte Pouze následující objekty.

    2. V části Pouze následující objekty ve složce vyberte Objekty počítače.

    3. Zaškrtněte políčko Vytvořit vybrané objekty v této složce .

    4. Vyberte Další.

13. V okně Oprávnění zaškrtněte v části Oprávnění políčko Úplné řízení a pak vyberte Další.

    Poznámka

    Po zaškrtnutí políčka Úplné řízení se automaticky vyberou všechny ostatní možnosti v části Oprávnění: . Automatický výběr zaškrtávacích políček je normální a očekávaný. Po automatickém výběru zaškrtávacích políček neodškrtávejte.

14. V okně Dokončení průvodce delegováním ovládacího prvku vyberte Dokončit.

Další krok: Registrace zařízení jako zařízení Windows Autopilot

Krok 4: Registrace zařízení jako zařízení Windows Autopilot

Související obsah

Další informace o zvýšení limitu účtu počítače v organizační jednotce najdete v následujících článcích:

• Zvýšení limitu účtu počítače v organizační jednotce (OU)
• Výchozí limit počtu pracovních stanic, ke které se uživatel může připojit k doméně.
• Přidejte pracovní stanice do domény.