用户驱动Microsoft Entra混合加入：提高组织单位中的计算机帐户限制 (OU)

适用于 Active Directory 的 Intune 连接器的目的是将计算机加入域并将其添加到 OU。 因此，用于 Active Directory 的 Intune 连接器的托管服务帐户需要有权在计算机加入到本地域的 OU 中创建计算机帐户。

使用 Active Directory 中的默认权限时，Intune Connector for Active Directory 的域加入最初可能无需对 Active Directory 中的 OU 进行任何权限修改。 但是，在 MSA 尝试将 10 台计算机加入本地域后，它将停止工作，因为默认情况下，Active Directory 仅允许任何单个帐户将最多 10 台计算机加入本地域。

以下用户不受 10 个计算机域加入限制的限制：

• 管理员或域管理员组中的用户：为了遵守最低特权原则模型，Microsoft不建议将 MSA 设置为管理员或域管理员。
• 对组织单位具有委派权限的用户 (OU) 和容器在 Active Directory 中创建计算机帐户：建议使用此方法，因为它遵循最低特权原则模型。

若要修复此限制，MSA 需要在本地域中将计算机加入到的组织单位 (OU) 中创建计算机帐户 权限。 只要满足以下条件之一，Active Directory 的 Intune 连接器会将 MSA 的权限设置为 OU：

• 安装适用于 Active Directory 的 Intune 连接器的管理员具有设置 OU 权限所需的权限。
• 为 Active Directory 配置 Intune 连接器的管理员具有设置 OU 权限所需的权限。

如果安装或配置 Intune 连接器 for Active Directory 的管理员没有设置 OU 权限所需的权限，则需要执行以下步骤：

1. 使用一个帐户登录到有权访问 Active Directory 用户和计算机 控制台的计算机，该帐户是设置 OU 权限的必要权限。

2. 通过运行 DSA.msc 打开Active Directory 用户和计算机控制台。

3. 展开所需的域，导航到计算机在 Windows Autopilot 期间加入的组织单位 (OU) 。

   注意

   稍后在 配置和分配域加入配置文件 步骤中，将指定计算机在 Windows Autopilot 部署期间加入的 OU。

4. 右键单击 OU 并选择 “属性”。

   注意

   如果计算机正在加入默认 的“计算机” 容器而不是 OU，请右键单击“ 计算机 ”容器，然后选择“ 委托控制”。

5. 在打开的“OU 属性” 窗口中，选择“ 安全性 ”选项卡。

6. 在“ 安全性 ”选项卡中，选择“ 高级”。

7. 在 “高级安全设置” 窗口中，选择“ 添加”。

8. 在 “权限输入” 窗口的 “主体”旁边，选择“ 选择主体” 链接。

9. 在 “选择用户、计算机、服务帐户或组 ”窗口中，选择“ 对象类型...” 按钮。

10. 在“对象类型”窗口中，选择“服务帐户检查”框，然后选择“确定”。

11. 在 “选择用户、计算机、服务帐户或组 ”窗口中，在 “输入要选择的对象名称”下，输入用于 Intune Connector for Active Directory 的 MSA 的名称。

    提示

    MSA 是在安装 Intune 连接器 for Active Directory 步骤/节期间创建的，其名称格式msaODJ##########为 5 个随机字符。 如果 MSA 名称未知，请按照以下步骤查找 MSA 名称：

    1. 在运行 Intune 连接器 for Active Directory 的服务器上，右键单击“ 开始 ”菜单，然后选择“ 计算机管理”。
    2. 在 “计算机管理 ”窗口中，展开“ 服务和应用程序” ，然后选择“ 服务”。
    3. 在结果窗格中，找到名为 Intune ODJConnector for Active Service 的服务。 MSA 的名称列在 “登录为 ”列中。

12. 选择“ 检查名称” 以验证 MSA 名称条目。 验证条目后，选择“ 确定”。

13. 在 “权限条目 ”窗口中，选择“ 应用于： ”下拉菜单，然后选择“ 仅此对象”。

14. 在“权限”下，取消选择所有项，然后仅选中“检查创建计算机对象”框。

15. 选择 “确定” 以关闭 “权限输入” 窗口。

16. 在 “高级安全设置” 窗口中，选择“ 应用 ”或“ 确定” 以应用更改。

适用于 Active Directory 的 Intune 连接器的目的是将计算机加入域并将其添加到 OU。 因此，运行适用于 Active Directory 的 Intune 连接器的服务器需要有权在 OU 中创建计算机帐户，其中计算机已加入本地域。

使用 Active Directory 中的默认权限时，Intune Connector for Active Directory 的域加入最初可能无需对 Active Directory 中的 OU 进行任何权限修改。 但是，在运行 Intune Connector for Active Directory 的服务器尝试将 10 台计算机加入本地域后，它将停止工作，因为默认情况下，Active Directory 仅允许任何一个帐户将最多 10 台计算机加入本地域。

以下用户不受 10 个计算机域加入限制的限制：

• 管理员或域管理员组中的用户 - 为了遵守最低特权原则模型，Microsoft不建议将运行 Intune Connector for Active Directory 的计算机帐户设置为管理员或域管理员。
• 对组织单位具有委派权限的用户 (OU) 和容器在 Active Directory 中创建计算机帐户 - 建议使用此方法，因为它遵循最低特权原则模型。

若要修复此限制，运行适用于 Active Directory 的 Intune 连接器的服务器需要在本地域中加入计算机的组织单位 (OU) 创建计算机帐户 权限：

若要在 Windows Autopilot 期间提高计算机要加入的组织单位 (OU) 的计算机帐户限制，请在有权访问 Active Directory 用户和计算机 控制台的计算机上执行以下步骤：

1. 通过运行 DSA.msc 打开Active Directory 用户和计算机控制台。

2. 展开所需的域，导航到计算机在 Windows Autopilot 期间加入的组织单位 (OU) 。

   注意

   稍后在 配置和分配域加入配置文件 步骤中，将指定计算机在 Windows Autopilot 部署期间加入的 OU。

3. 右键单击 OU，然后选择“ 委托控件”。

   注意

   如果计算机正在加入默认 的“计算机” 容器而不是 OU，请右键单击“ 计算机 ”容器，然后选择“ 委托控制”。

4. 在“控件委派向导”的“欢迎使用控件委派向导”窗口中，选择“下一步”。

5. 在 “用户或组” 窗口中的 “所选用户和组”下，选择“ 添加”。

6. 在 “选择此对象类型”旁边： 在 “选择用户、计算机或组” 窗口中，选择“ 对象类型”。

7. 在“对象类型”窗口中，选择“计算机检查”框，然后选择“确定”。 此窗口中的其他项可以保留为默认值。

8. 在 “选择用户、计算机或组” 窗口中的“ 输入要选择的对象名称 ”框下，输入安装 Intune 连接器 for Active Directory 步骤期间安装了适用于 Active Directory 的 Intune 连接器 的计算机的名称。

9. 选择“ 检查名称” 以验证条目。 验证条目后，选择“ 确定”。

10. 在 “用户或组” 窗口中，验证“ 所选用户和组：”下是否显示正确的计算机，然后选择“ 下一步”。

11. 在 “要委托的任务” 窗口中，选择“ 创建要委派的自定义任务”，然后选择“ 下一步”。

12. 在 “Active Directory 对象类型 ”窗口中：

    1. 在 文件夹中选择“仅以下对象”。

    2. 在“ 仅文件夹中的以下对象”下，选择“ 计算机对象”。

    3. 选中“ 在此文件夹中创建所选对象 ”复选框。

    4. 选择 下一步。

13. 在“权限”窗口中的“权限：”下，选择“完全控制检查”框，然后选择“下一步”。

    注意

    选择“完全控制检查”框后，将自动选择“权限：”下的所有其他选项。 自动选择复选框是正常和预期的。 在自动选择任何检查框后，不要取消选择这些框。

14. 在 “完成控件委派向导” 窗口中，选择“ 完成”。