Share via

Управляемое пользователем Microsoft Entra гибридное присоединение: увеличение лимита учетной записи компьютера в подразделении

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Autopilot, управляемый пользователем Microsoft Entra этапы гибридного присоединения:

  • Шаг 3. Увеличение лимита учетной записи компьютера в подразделении

Общие сведения о рабочем процессе гибридного присоединения windows Autopilot, управляемом пользователем Microsoft Entra, см. в статье Общие сведения о гибридном присоединении windows Autopilot, управляемом пользователем Microsoft Entra.

Примечание.

Если вы уже увеличили лимит учетной записи компьютера до соответствующей организационной единицы (OU) в рамках Windows Autopilot для предварительно подготовленного развертывания Microsoft Entra сценарии гибридного присоединения, можно пропустить этот шаг и перейти к шагу 4. Регистрация устройств как устройств Autopilot.

Увеличение лимита учетной записи компьютера в подразделении

Соединитель Intune предназначен для присоединения компьютеров к локальному домену во время процесса Autopilot. Соединитель Intune создает объекты-компьютеры в указанном подразделении в Active Directory во время присоединения к домену. По этой причине сервер, на котором запущен соединитель Intune, должен иметь разрешения на создание и удаление учетных записей компьютеров в подразделении, где компьютеры присоединены к локальному домену.

С разрешениями по умолчанию в Active Directory присоединение к домену соединителем Intune может изначально работать без каких-либо изменений разрешений для подразделения в Active Directory. Однако после того, как сервер, на котором запущен соединитель Intune, попытается присоединить более 10 компьютеров к локальному домену, он перестанет работать, так как по умолчанию Active Directory разрешает только одной учетной записи присоединить до 10 компьютеров к локальному домену.

Следующие пользователи не ограничены ограничением на присоединение к домену 10 компьютеров:

  • Пользователи в группах "Администраторы" или "Администраторы домена".
  • Пользователи, которым делегированы разрешения на создание и удаление учетных записей компьютеров в подразделениях и контейнерах в Active Directory.

Чтобы устранить это ограничение, серверу, на котором работает соединитель Intune, необходимо делегировать разрешения на создание и удаление учетных записей компьютеров в подразделении, где компьютеры присоединены к локальному домену. Также рекомендуется специально задать эти разрешения, если сервер, на котором работает соединитель Intune, не имеет разрешений на создание компьютеров в подразделении, например разрешения по умолчанию были изменены.

Чтобы увеличить ограничение учетной записи компьютера в подразделении, к которому присоединяются компьютеры во время autopilot, выполните следующие действия на компьютере с доступом к консоли Пользователи и компьютеры Active Directory.

  1. Откройте консоль Пользователи и компьютеры Active Directory, запустив DSA.msc.

  2. Разверните нужный домен и перейдите к подразделению, к которому присоединяются компьютеры во время Autopilot.

    Примечание.

    Подразделение, к которому присоединяются компьютеры во время Autopilot, указывается позже на шаге Настройка и назначение профиля присоединения к домену .

  3. Щелкните правой кнопкой мыши подразделение и выберите пункт Делегировать управление.

    Примечание.

    Если подразделение не указано и компьютеры присоединяются к контейнеру компьютеров по умолчанию, щелкните правой кнопкой мыши контейнер Компьютеры и выберите Пункт Делегирование управления.

  4. В окне Мастер делегирования элементов управлениямастера делегирования элементов управления нажмите кнопку Далее.

  5. В окне Пользователи или группы в разделе Выбранные пользователи и группы выберите Добавить.

  6. Рядом с полем Выберите этот тип объекта: в окне Выбор пользователей, компьютеров или групп выберите Типы объектов.

  7. В окне Типы объектов выберите поле Компьютеры проверка и нажмите кнопку ОК. Другие элементы в этом окне можно оставить по умолчанию.

  8. В окне Выбор пользователей, компьютеров или групп в поле Введите имена объектов для выбора введите имя компьютера, на котором был установлен соединитель Intune во время шага Установка соединителя Intune .

  9. Выберите Проверить имена , чтобы проверить запись. После проверки записи нажмите кнопку ОК.

  10. В окне Пользователи или группы убедитесь, что в разделе Выбранные пользователи и группы отображается правильный компьютер, а затем нажмите кнопку Далее.

  11. В окне Задачи для делегирования выберите Создать пользовательскую задачу для делегирования, а затем нажмите кнопку Далее.

  12. В окне Тип объекта Active Directory :

    1. Выберите в папке только следующие объекты.

    2. В разделе Только следующие объекты в папке выберите Объекты компьютеров.

    3. Выберите в этой папке поля Создать выбранные объекты в этой папке и Удалить выбранные объекты в этой папке проверка.

    4. Нажмите кнопку Далее.

  13. В окне Разрешения в разделе Разрешения: выберите поле Полный доступ проверка, а затем нажмите кнопку Далее.

    Примечание.

    После выбора поля Полный доступ проверка все остальные параметры в разделе Разрешения: будут автоматически выбраны. Автоматическое установка флажков является нормальным и ожидаемым. Не отменяйте выбор проверка полей после их автоматического выбора.

  14. В окне Завершение работы мастера делегирования элементов управления нажмите кнопку Готово.

Следующий шаг. Регистрация устройств в качестве устройств Autopilot

Шаг 4. Регистрация устройств в качестве устройств Autopilot

Дополнительная информация

Дополнительные сведения об увеличении лимита учетной записи компьютера в подразделении см. в следующих статьях: