Поделиться через


Предварительная подготовка гибридного присоединения к Microsoft Entra: увеличение лимита учетной записи компьютера в подразделении

Windows Autopilot для предварительно подготовленных шагов гибридного присоединения к развертыванию Microsoft Entra:

  • Шаг 3. Увеличение лимита учетной записи компьютера в подразделении

Общие сведения о рабочем процессе гибридного присоединения Windows Autopilot для предварительно подготовленного развертывания Microsoft Entra см. в статье Общие сведения о предварительно подготовленном развертывании гибридного соединения Microsoft Entra в Windows Autopilot.

Примечание.

Если ограничение учетной записи компьютера для соответствующего подразделения уже увеличено, пропустите этот шаг и перейдите к шагу 4. Регистрация устройств в качестве устройств Autopilot.

Увеличение лимита учетной записи компьютера в подразделении

Соединитель Intune предназначен для присоединения компьютеров к локальному домену во время процесса Autopilot. Соединитель Intune создает объекты-компьютеры в указанном подразделении в Active Directory во время присоединения к домену. По этой причине сервер, на котором запущен соединитель Intune, должен иметь разрешения на создание и удаление учетных записей компьютеров в подразделении, где компьютеры присоединены к локальному домену.

С разрешениями по умолчанию в Active Directory присоединение к домену соединителем Intune может изначально работать без каких-либо изменений разрешений для подразделения в Active Directory. Однако после того, как сервер, на котором запущен соединитель Intune, попытается присоединить более 10 компьютеров к локальному домену, он перестанет работать, так как по умолчанию Active Directory разрешает только одной учетной записи присоединить до 10 компьютеров к локальному домену.

Следующие пользователи не ограничены ограничением на присоединение к домену 10 компьютеров:

  • Пользователи в группах "Администраторы" или "Администраторы домена".
  • Пользователи с делегированными разрешениями на подразделения и контейнеры в Active Directory для создания и удаления учетных записей компьютеров.

Чтобы устранить это ограничение, серверу, на котором работает соединитель Intune, необходимо делегировать разрешения в подразделении, где компьютеры присоединены к локальному домену:

  • Создание учетных записей компьютеров.
  • Удаление учетных записей компьютеров.

Корпорация Майкрософт также рекомендует специально задать эти разрешения, если сервер, на котором запущен соединитель Intune, не имеет разрешений на создание компьютеров в подразделении, например, разрешения по умолчанию будут изменены.

Чтобы увеличить ограничение учетной записи компьютера в подразделении, к которому присоединяются компьютеры во время autopilot, выполните следующие действия на компьютере с доступом к консоли "Пользователи и компьютеры Active Directory ".

  1. Откройте консоль "Пользователи и компьютеры Active Directory" , запустив DSA.msc.

  2. Разверните нужный домен и перейдите к подразделению, к которому присоединяются компьютеры во время Autopilot.

    Примечание.

    Подразделение, к которому присоединяются компьютеры во время развертывания Windows Autopilot, указывается позже на шаге Настройка и назначение профиля присоединения к домену .

  3. Щелкните правой кнопкой мыши подразделение и выберите пункт Делегировать управление.

    Примечание.

    Если подразделение не указано и компьютеры присоединяются к контейнеру компьютеров по умолчанию, щелкните правой кнопкой мыши контейнер Компьютеры и выберите Пункт Делегирование управления.

  4. В окне Мастер делегирования элементов управлениямастера делегирования элементов управления нажмите кнопку Далее.

  5. В окне Пользователи или группы в разделе Выбранные пользователи и группы выберите Добавить.

  6. Рядом с полем Выберите этот тип объекта: в окне Выбор пользователей, компьютеров или групп выберите Типы объектов.

  7. В окне Типы объектов установите флажок Компьютеры и нажмите кнопку ОК. Другие элементы в этом окне можно оставить по умолчанию.

  8. В окне Выбор пользователей, компьютеров или групп в поле Введите имена объектов для выбора введите имя компьютера, на котором был установлен соединитель Intune во время шага Установка соединителя Intune .

  9. Выберите Проверить имена , чтобы проверить запись. После проверки записи нажмите кнопку ОК.

  10. В окне Пользователи или группы убедитесь, что в разделе Выбранные пользователи и группы отображается правильный компьютер, а затем нажмите кнопку Далее.

  11. В окне Задачи для делегирования выберите Создать пользовательскую задачу для делегирования, а затем нажмите кнопку Далее.

  12. В окне Тип объекта Active Directory :

    1. Выберите в папке только следующие объекты.

    2. В разделе Только следующие объекты в папке выберите Объекты компьютеров.

    3. Установите флажки Создать выбранные объекты в этой папке и Удалить выбранные объекты в этой папке .

    4. Нажмите кнопку Далее.

  13. В окне Разрешения в разделе Разрешения: установите флажок Полный доступ и нажмите кнопку Далее.

    Примечание.

    После того как установите флажок Полный доступ , все остальные параметры в разделе Разрешения: будут автоматически выбраны. Автоматическое установка флажков является нормальным и ожидаемым. Не снимите флажки после автоматического выбора.

  14. В окне Завершение работы мастера делегирования элементов управления нажмите кнопку Готово.

Следующий шаг. Регистрация устройств в качестве устройств Autopilot

Дополнительные сведения об увеличении лимита учетной записи компьютера в подразделении см. в следующих статьях: