Freigeben über


Benutzergesteuerte Microsoft Entra-Hybrideinbindung: Erhöhen des Grenzwerts für Computerkonten in der Organisationseinheit (OE)

Benutzergesteuerte Autopilot-Schritte zur Hybrideinbindung von Microsoft Entra:

  • Schritt 3: Erhöhen des Grenzwerts für Computerkonten in der Organisationseinheit (OE)

Eine Übersicht über den benutzergesteuerten Microsoft Entra Hybrid Join-Workflow von Windows Autopilot finden Sie unter Übersicht über benutzergesteuerte Microsoft Entra-Hybrideinbindung für Windows Autopilot.

Hinweis

Wenn der Grenzwert für das Computerkonto für die richtige Organisationseinheit (OE) bereits erhöht wurde, überspringen Sie diesen Schritt, und fahren Sie mit Schritt 4: Registrieren von Geräten als Autopilot-Geräte fort.

Erhöhen des Computerkontolimits in der Organisationseinheit (OE)

Der Zweck des Intune-Connectors besteht darin, Computer während des Autopilot-Prozesses in eine lokale Domäne einzubinden. Der Intune-Connector erstellt während des Domänenbeitritts Computerobjekte in einer angegebenen Organisationseinheit (OE) in Active Directory. Aus diesem Grund muss der Server, auf dem der Intune-Connector ausgeführt wird, über Berechtigungen zum Erstellen und Löschen von Computerkonten in der Organisationseinheit verfügen, in der die Computer mit der lokalen Domäne verknüpft sind.

Mit Standardberechtigungen in Active Directory können Domänenbeitritte durch den Intune-Connector anfänglich ohne Berechtigungsänderungen an der Organisationseinheit in Active Directory funktionieren. Nachdem der Server, auf dem der Intune-Connector ausgeführt wird, jedoch versucht hat, mehr als 10 Computer mit der lokalen Domäne zu verbinden, funktioniert er nicht mehr, da Active Directory standardmäßig nur das Einbinden von bis zu 10 Computern mit der lokalen Domäne zulässt.

Die folgenden Benutzer sind nicht durch die Beschränkung auf 10 Computerdomäneneinbindung eingeschränkt:

  • Benutzer in den Gruppen Administratoren oder Domänenadministratoren.
  • Benutzer mit delegierten Berechtigungen für Organisationseinheiten und Container in Active Directory zum Erstellen und Löschen von Computerkonten.

Um diese Einschränkung zu beheben, müssen dem Server, auf dem der Intune-Connector ausgeführt wird, Berechtigungen in der Organisationseinheit (OE) delegiert werden, in der die Computer mit der lokalen Domäne verknüpft sind:

  • Erstellen sie Computerkonten.
  • Computerkonten löschen.

Microsoft empfiehlt auch, diese Berechtigungen speziell festzulegen, falls der Server, auf dem der Intune-Connector ausgeführt wird, keine Berechtigungen zum Erstellen von Computern in der Organisationseinheit hat, z. B. die Standardberechtigungen geändert werden.

Führen Sie die folgenden Schritte auf einem Computer aus, der Zugriff auf die Konsole "Active Directory-Benutzer und -Computer " hat, um den Grenzwert für Computerkonten in der Organisationseinheit (OE) zu erhöhen, mit der die Computer während autopilot verbunden werden:

  1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer , indem Sie DSA.msc ausführen.

  2. Erweitern Sie die gewünschte Domäne, und navigieren Sie zu der Organisationseinheit (OE), der Computer während autopilot beitreten.

    Hinweis

    Die Organisationseinheit, der Computer während der Windows Autopilot-Bereitstellung beitreten, wird später im Schritt Konfigurieren und Zuweisen des Profils für den Domänenbeitritt angegeben.

  3. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, und wählen Sie Steuerung delegieren aus.

    Hinweis

    Wenn keine Organisationseinheit angegeben wird und Computer stattdessen dem Standardcontainer Computer beitreten, klicken Sie mit der rechten Maustaste auf den Container Computer , und wählen Sie Steuerung delegieren aus.

  4. Wählen Sie im Fenster Willkommen beim Assistenten für die Delegierung von Steuerelementen des Assistenten für die Delegierung von Steuerelementen die Option Weiter aus.

  5. Wählen Sie im Fenster Benutzer oder Gruppen unter Ausgewählte Benutzer und Gruppen die Option Hinzufügen aus.

  6. Wählen Sie neben Diesen Objekttyp auswählen im Fenster Benutzer, Computer oder Gruppen auswählendie Option Objekttypen aus.

  7. Aktivieren Sie im Fenster Objekttypen das Kontrollkästchen Computer , und wählen Sie dann OK aus. Für die anderen Elemente in diesem Fenster kann der Standardwert beibehalten werden.

  8. Geben Sie im Fenster Benutzer, Computer oder Gruppen auswählen unter dem Feld Geben Sie die zu wählenden Objektnamen ein den Namen des Computers ein, auf dem der Intune-Connector während des Schritts Installieren des Intune-Connectors installiert wurde.

  9. Wählen Sie Namen überprüfen aus, um den Eintrag zu überprüfen. Nachdem der Eintrag überprüft wurde, wählen Sie OK aus.

  10. Überprüfen Sie im Fenster Benutzer oder Gruppen , ob der richtige Computer unter Ausgewählte Benutzer und Gruppen: angezeigt wird, und wählen Sie dann Weiter aus.

  11. Wählen Sie im Fenster Zu delegierende Aufgaben die Option Benutzerdefinierte Aufgabe zum Delegieren erstellen und dann Weiter aus.

  12. Im Fenster Active Directory-Objekttyp :

    1. Wählen Sie Nur die folgenden Objekte im Ordner aus.

    2. Wählen Sie unter Nur die folgenden Objekte im Ordnerdie Option Computerobjekte aus.

    3. Aktivieren Sie sowohl die Kontrollkästchen Ausgewählte Objekte in diesem Ordner erstellen als auch Ausgewählte Objekte in diesem Ordner löschen .

    4. Wählen Sie Weiter aus.

  13. Aktivieren Sie im Fenster Berechtigungen unter Berechtigungen: das Kontrollkästchen Vollzugriff , und wählen Sie dann Weiter aus.

    Hinweis

    Nachdem Sie das Kontrollkästchen Vollzugriff aktiviert haben, werden alle anderen Optionen unter Berechtigungen: automatisch ausgewählt. Die automatische Auswahl der Kontrollkästchen ist normal und wird erwartet. Deaktivieren Sie keines der Kontrollkästchen, nachdem sie automatisch aktiviert wurden.

  14. Wählen Sie im Fenster Assistenten zum Abschließen des Delegierungs-Assistenten die Option Fertig stellen aus.

Nächster Schritt: Registrieren von Geräten als Autopilot-Geräte

Weitere Informationen zum Erhöhen des Grenzwerts für Computerkonten in einer Organisationseinheit finden Sie in den folgenden Artikeln: