Benutzergesteuerte Microsoft Entra Hybrideinbindung: Erhöhen des Grenzwerts für Computerkonten in der Organisationseinheit (OE)

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Benutzergesteuerte autopilot-Microsoft Entra Schritte zur Hybrideinbindung:

• Schritt 1: Einrichten der automatischen Windows-Intune-Registrierung
• Schritt 2: Installieren des Intune-Connectors

• Schritt 3: Erhöhen des Grenzwerts für Computerkonten in der Organisationseinheit (OE)

• Schritt 4: Registrieren von Geräten als Autopilot-Geräte
• Schritt 5: Erstellen einer Gerätegruppe
• Schritt 6: Konfigurieren und Zuweisen der Autopilot-Registrierungsstatusseite (ESP)
• Schritt 7: Erstellen und Zuweisen Microsoft Entra Autopilot-Hybridjoinprofils
• Schritt 8: Konfigurieren und Zuweisen eines Domänenbeitrittsprofils
• Schritt 9: Zuweisen eines Autopilot-Geräts zu einem Benutzer (optional)
• Schritt 10: Bereitstellen des Geräts

Eine Übersicht über den benutzergesteuerten Microsoft Entra hybriden Einbindungsworkflow von Windows Autopilot finden Sie unter Übersicht über benutzergesteuerte Microsoft Entra Hybrid Joins in Windows Autopilot.

Hinweis

Wenn Sie das Computerkontolimit bereits auf die richtige Organisationseinheit (OE) im Rahmen von Windows Autopilot für die vorab bereitgestellte Bereitstellung Microsoft Entra Hybrid join-Szenario erhöht haben, können Sie diesen Schritt überspringen und mit Schritt 4: Registrieren von Geräten als Autopilot-Geräte fortfahren.

Erhöhen des Computerkontolimits in der Organisationseinheit (OE)

Der Zweck des Intune-Connectors besteht darin, Computer während des Autopilot-Prozesses in eine lokale Domäne einzubinden. Der Intune-Connector erstellt während des Domänenbeitritts Computerobjekte in einer angegebenen Organisationseinheit (OE) in Active Directory. Aus diesem Grund muss der Server, auf dem der Intune-Connector ausgeführt wird, über Berechtigungen zum Erstellen und Löschen von Computerkonten in der Organisationseinheit verfügen, in der die Computer mit der lokalen Domäne verknüpft sind.

Mit Standardberechtigungen in Active Directory können Domänenbeitritte durch den Intune-Connector anfänglich ohne Berechtigungsänderungen an der Organisationseinheit in Active Directory funktionieren. Nachdem der Server, auf dem der Intune-Connector ausgeführt wird, jedoch versucht hat, mehr als 10 Computer mit der lokalen Domäne zu verbinden, funktioniert er nicht mehr, da Active Directory standardmäßig nur das Einbinden von bis zu 10 Computern mit der lokalen Domäne zulässt.

Die folgenden Benutzer sind nicht durch die Beschränkung auf 10 Computerdomäneneinbindung eingeschränkt:

• Benutzer in den Gruppen Administratoren oder Domänenadministratoren.
• Benutzer, die über delegierte Berechtigungen für Organisationseinheiten und Container in Active Directory verfügen, um Computerkonten zu erstellen und zu löschen.

Um diese Einschränkung zu beheben, müssen dem Server, auf dem der Intune-Connector ausgeführt wird, Berechtigungen zum Erstellen und Löschen von Computerkonten in der Organisationseinheit (OE) delegiert werden, in der die Computer mit der lokalen Domäne verknüpft sind. Es wird auch empfohlen, diese Berechtigungen speziell festzulegen, falls der Server, auf dem der Intune-Connector ausgeführt wird, nicht über Berechtigungen zum Erstellen von Computern in der Organisationseinheit verfügt, z. B. die Standardberechtigungen geändert wurden.

Führen Sie die folgenden Schritte auf einem Computer aus, der Zugriff auf die Active Directory-Benutzer und -Computer-Konsole hat, um den Grenzwert für Computerkonten in der Organisationseinheit (OE) zu erhöhen, mit der Computer während Autopilot verbunden werden:

1. Öffnen Sie die Active Directory-Benutzer und -Computer-Konsole, indem Sie DSA.msc ausführen.

2. Erweitern Sie die gewünschte Domäne, und navigieren Sie zu der Organisationseinheit (OE), der Computer während autopilot beitreten.

   Hinweis

   Die Organisationseinheit, der Computer während Autopilot beitreten, wird später während des Schritts Konfigurieren und Zuweisen des Profils domänenbeitritt angegeben.

3. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, und wählen Sie Steuerung delegieren aus.

   Hinweis

   Wenn keine Organisationseinheit angegeben wird und Computer stattdessen dem Standardcontainer Computer beitreten, klicken Sie mit der rechten Maustaste auf den Container Computer , und wählen Sie Steuerung delegieren aus.

4. Wählen Sie im Fenster Willkommen beim Assistenten für die Delegierung von Steuerelementen des Assistenten für die Delegierung von Steuerelementen die Option Weiter aus.

5. Wählen Sie im Fenster Benutzer oder Gruppen unter Ausgewählte Benutzer und Gruppen die Option Hinzufügen aus.

6. Wählen Sie neben Diesen Objekttyp auswählen im Fenster Benutzer, Computer oder Gruppen auswählendie Option Objekttypen aus.

7. Aktivieren Sie im Fenster Objekttypen das Kontrollkästchen Computer , und wählen Sie dann OK aus. Für die anderen Elemente in diesem Fenster kann der Standardwert beibehalten werden.

8. Geben Sie im Fenster Benutzer, Computer oder Gruppen auswählen unter dem Feld Geben Sie die zu wählenden Objektnamen ein den Namen des Computers ein, auf dem der Intune-Connector während des Schritts Installieren des Intune-Connectors installiert wurde.

9. Wählen Sie Namen überprüfen aus, um Ihren Eintrag zu überprüfen. Nachdem der Eintrag überprüft wurde, wählen Sie OK aus.

10. Überprüfen Sie im Fenster Benutzer oder Gruppen , ob der richtige Computer unter Ausgewählte Benutzer und Gruppen: angezeigt wird, und wählen Sie dann Weiter aus.

11. Wählen Sie im Fenster Zu delegierende Aufgaben die Option Benutzerdefinierte Aufgabe zum Delegieren erstellen und dann Weiter aus.

12. Im Fenster Active Directory-Objekttyp :

    1. Wählen Sie Nur die folgenden Objekte im Ordner aus.

    2. Wählen Sie unter Nur die folgenden Objekte im Ordnerdie Option Computerobjekte aus.

    3. Aktivieren Sie sowohl die Kontrollkästchen Ausgewählte Objekte in diesem Ordner erstellen als auch Ausgewählte Objekte in diesem Ordner löschen .

    4. Wählen Sie Weiter aus.

13. Aktivieren Sie im Fenster Berechtigungen unter Berechtigungen: das Kontrollkästchen Vollzugriff , und wählen Sie dann Weiter aus.

    Hinweis

    Nachdem Sie das Kontrollkästchen Vollzugriff aktiviert haben, werden alle anderen Optionen unter Berechtigungen: automatisch ausgewählt. Die automatische Auswahl der Kontrollkästchen ist normal und wird erwartet. Deaktivieren Sie keines der Kontrollkästchen, nachdem sie automatisch aktiviert wurden.

14. Wählen Sie im Fenster Assistenten zum Abschließen des Delegierungs-Assistenten die Option Fertig stellen aus.

Nächster Schritt: Registrieren von Geräten als Autopilot-Geräte

Schritt 4: Registrieren von Geräten als Autopilot-Geräte

Weitere Informationen

Weitere Informationen zum Erhöhen des Grenzwerts für Computerkonten in einer Organisationseinheit finden Sie in den folgenden Artikeln:

• Erhöhen des Kontolimits für den Computer in der Organisationseinheit
• Standardlimit für die Anzahl von Arbeitsstationen, die ein Benutzer der Domäne beitreten kann
• Hinzufügen von Arbeitsstationen zur Domäne