Предварительная подготовка гибридного присоединения к Microsoft Entra: увеличение лимита учетной записи компьютера в подразделении

Windows Autopilot для предварительно подготовленных шагов гибридного присоединения к развертыванию Microsoft Entra:

• Шаг 1. Настройка автоматической регистрации Intune в Windows
• Шаг 2. Установка соединителя Intune

• Шаг 4. Регистрация устройств в качестве устройств Autopilot
• Шаг 5 . Создание группы устройств
• Шаг 6. Настройка и назначение страницы состояния регистрации Autopilot (ESP)
• Шаг 7. Создание и назначение профиля Autopilot гибридного присоединения к Microsoft Entra
• Шаг 8 . Настройка и назначение профиля присоединения к домену
• Шаг 9. Назначение устройства Autopilot пользователю (необязательно)
• Шаг 10. Поток техники
• Шаг 11. Поток пользователя

Общие сведения о рабочем процессе гибридного присоединения Windows Autopilot для предварительно подготовленного развертывания Microsoft Entra см. в статье Общие сведения о предварительно подготовленном развертывании гибридного соединения Microsoft Entra в Windows Autopilot.

Увеличение лимита учетной записи компьютера в подразделении

Соединитель Intune предназначен для присоединения компьютеров к локальному домену во время процесса Autopilot. Соединитель Intune создает объекты-компьютеры в указанном подразделении в Active Directory во время присоединения к домену. По этой причине сервер, на котором запущен соединитель Intune, должен иметь разрешения на создание и удаление учетных записей компьютеров в подразделении, где компьютеры присоединены к локальному домену.

С разрешениями по умолчанию в Active Directory присоединение к домену соединителем Intune может изначально работать без каких-либо изменений разрешений для подразделения в Active Directory. Однако после того, как сервер, на котором запущен соединитель Intune, попытается присоединить более 10 компьютеров к локальному домену, он перестанет работать, так как по умолчанию Active Directory разрешает только одной учетной записи присоединить до 10 компьютеров к локальному домену.

Следующие пользователи не ограничены ограничением на присоединение к домену 10 компьютеров:

• Пользователи в группах "Администраторы" или "Администраторы домена".
• Пользователи с делегированными разрешениями на подразделения и контейнеры в Active Directory для создания и удаления учетных записей компьютеров.

Чтобы устранить это ограничение, серверу, на котором работает соединитель Intune, необходимо делегировать разрешения в подразделении, где компьютеры присоединены к локальному домену:

• Создание учетных записей компьютеров.
• Удаление учетных записей компьютеров.

Корпорация Майкрософт также рекомендует специально задать эти разрешения, если сервер, на котором запущен соединитель Intune, не имеет разрешений на создание компьютеров в подразделении, например, разрешения по умолчанию будут изменены.

Чтобы увеличить ограничение учетной записи компьютера в подразделении, к которому присоединяются компьютеры во время autopilot, выполните следующие действия на компьютере с доступом к консоли "Пользователи и компьютеры Active Directory ".

1. Откройте консоль "Пользователи и компьютеры Active Directory" , запустив DSA.msc.

2. Разверните нужный домен и перейдите к подразделению, к которому присоединяются компьютеры во время Autopilot.

   Примечание.

   Подразделение, к которому присоединяются компьютеры во время развертывания Windows Autopilot, указывается позже на шаге Настройка и назначение профиля присоединения к домену .

3. Щелкните правой кнопкой мыши подразделение и выберите пункт Делегировать управление.

   Примечание.

   Если подразделение не указано и компьютеры присоединяются к контейнеру компьютеров по умолчанию, щелкните правой кнопкой мыши контейнер Компьютеры и выберите Пункт Делегирование управления.

4. В окне Мастер делегирования элементов управлениямастера делегирования элементов управления нажмите кнопку Далее.

5. В окне Пользователи или группы в разделе Выбранные пользователи и группы выберите Добавить.

6. Рядом с полем Выберите этот тип объекта: в окне Выбор пользователей, компьютеров или групп выберите Типы объектов.

7. В окне Типы объектов установите флажок Компьютеры и нажмите кнопку ОК. Другие элементы в этом окне можно оставить по умолчанию.

8. В окне Выбор пользователей, компьютеров или групп в поле Введите имена объектов для выбора введите имя компьютера, на котором был установлен соединитель Intune во время шага Установка соединителя Intune .

9. Выберите Проверить имена , чтобы проверить запись. После проверки записи нажмите кнопку ОК.

10. В окне Пользователи или группы убедитесь, что в разделе Выбранные пользователи и группы отображается правильный компьютер, а затем нажмите кнопку Далее.

11. В окне Задачи для делегирования выберите Создать пользовательскую задачу для делегирования, а затем нажмите кнопку Далее.

12. В окне Тип объекта Active Directory :

    1. Выберите в папке только следующие объекты.

    2. В разделе Только следующие объекты в папке выберите Объекты компьютеров.

    3. Установите флажки Создать выбранные объекты в этой папке и Удалить выбранные объекты в этой папке .

    4. Нажмите кнопку Далее.

13. В окне Разрешения в разделе Разрешения: установите флажок Полный доступ и нажмите кнопку Далее.

    Примечание.

    После того как установите флажок Полный доступ , все остальные параметры в разделе Разрешения: будут автоматически выбраны. Автоматическое установка флажков является нормальным и ожидаемым. Не снимите флажки после автоматического выбора.

14. В окне Завершение работы мастера делегирования элементов управления нажмите кнопку Готово.

Следующий шаг. Регистрация устройств в качестве устройств Autopilot

Связанные материалы

Дополнительные сведения об увеличении лимита учетной записи компьютера в подразделении см. в следующих статьях:

• Увеличьте лимит учетной записи компьютера в подразделении.
• Ограничение по умолчанию на количество рабочих станций, которые пользователь может присоединить к домену.
• Добавление рабочих станций в домен.