Unión híbrida Microsoft Entra controlada por el usuario: aumentar el límite de la cuenta de equipo en la unidad organizativa (UO)

El propósito de Intune Connector para Active Directory es unir equipos a un dominio y agregarlos a una unidad organizativa. Por este motivo, la cuenta de servicio administrada que se usa para Intune Connector para Active Directory debe tener permisos para crear cuentas de equipo en la unidad organizativa donde los equipos están unidos al dominio local.

Con los permisos predeterminados en Active Directory, las combinaciones de dominio de Intune Connector para Active Directory podrían funcionar inicialmente sin modificaciones de permisos en la unidad organizativa en Active Directory. Sin embargo, después de que MSA intente unir más de 10 equipos al dominio local, dejará de funcionar porque, de forma predeterminada, Active Directory solo permite que cualquier cuenta única una hasta 10 equipos al dominio local.

Los usuarios siguientes no están restringidos por la limitación de unión a 10 dominios de equipo:

• Usuarios de los grupos Administradores o Administradores de dominio: para cumplir con el modelo de principios de privilegios mínimos, Microsoft no recomienda convertir la MSA en administrador o administrador de dominio.
• Usuarios con permisos delegados en unidades organizativas (OU) y contenedores de Active Directory para crear cuentas de equipo: se recomienda este método, ya que sigue el modelo de principios de privilegios mínimos.

Para corregir esta limitación, la MSA necesita el permiso Crear cuentas de equipo en la unidad organizativa (OU) a la que se unen los equipos en el dominio local. Intune Connector para Active Directory establece los permisos de los MSA en las unidades organizativas, siempre y cuando se cumpla una de las condiciones siguientes:

• El administrador que instala Intune Connector para Active Directory tiene los permisos necesarios para establecer permisos en las unidades organizativas.
• El administrador que configura Intune Connector para Active Directory tiene los permisos necesarios para establecer permisos en las unidades organizativas.

Si el administrador que instala o configura Intune Connector para Active Directory no tiene los permisos necesarios para establecer permisos en las unidades organizativas, es preciso seguir los pasos siguientes:

1. Inicie sesión en un equipo que tenga acceso a la consola de Usuarios y equipos de Active Directory con una cuenta que tenga los permisos necesarios para establecer permisos en las unidades organizativas.

2. Abra la consola de Usuarios y equipos de Active Directory mediante la ejecución de DSA.msc.

3. Expanda el dominio deseado y vaya a la unidad organizativa (OU) a la que se unen los equipos durante Windows Autopilot.

   Nota:

   La unidad organizativa a la que se unen los equipos durante la implementación de Windows Autopilot se especifica más adelante durante el paso Configurar y asignar perfil de unión a dominio .

4. Haga clic con el botón derecho en la unidad organizativa y seleccione Propiedades.

   Nota:

   Si los equipos se unen al contenedor equipos predeterminado en lugar de una unidad organizativa, haga clic con el botón derecho en el contenedor Equipos y seleccione Delegar control.

5. En las ventanas Propiedades de la unidad organizativa que se abre, seleccione la pestaña Seguridad .

6. En la pestaña Seguridad , seleccione Avanzadas.

7. En la ventana Configuración de seguridad avanzada , seleccione Agregar.

8. En las ventanas Entrada de permiso , junto a Entidad de seguridad, seleccione el vínculo Seleccionar una entidad de seguridad .

9. En la ventana Seleccionar usuario, equipo, cuenta de servicio o grupo , seleccione el botón Tipos de objeto... .

10. En la ventana Tipos de objeto , active la casilla Cuentas de servicio y, a continuación, seleccione Aceptar.

11. En la ventana Seleccionar usuario, equipo, cuenta de servicio o grupo , en Escriba el nombre del objeto que desea seleccionar, escriba el nombre de la MSA que se usa para Intune Connector para Active Directory.

    Sugerencia

    La MSA se creó durante el paso o sección Instalar Intune Connector for Active Directory y tiene el formato de nombre de msaODJ##### donde ##### hay cinco caracteres aleatorios. Si no se conoce el nombre de la MSA, siga estos pasos para buscar el nombre de la MSA:

    1. En el servidor que ejecuta Intune Connector para Active Directory, haga clic con el botón derecho en el menú Inicio y, a continuación, seleccione Administración de equipos.
    2. En la ventana Administración de equipos, expanda Servicios y aplicaciones y, a continuación, seleccione Servicios.
    3. En el panel de resultados, busque el servicio con el nombre Intune ODJConnector for Active Service. El nombre de la MSA aparece en la columna Iniciar sesión como .

12. Seleccione Comprobar nombres para validar la entrada de nombre de MSA. Una vez validada la entrada, seleccione Aceptar.

13. En las ventanas Entrada de permiso , seleccione el menú desplegable Se aplica a: y, a continuación, seleccione Solo este objeto.

14. En Permisos, anule la selección de todos los elementos y, a continuación, active solo la casilla Crear objetos de equipo .

15. Seleccione Aceptar para cerrar la ventana Entrada de permiso .

16. En la ventana Configuración de seguridad avanzada , seleccione Aplicar o Aceptar para aplicar los cambios.

El propósito de Intune Connector para Active Directory es unir equipos a un dominio y agregarlos a una unidad organizativa. Por este motivo, el servidor que ejecuta Intune Connector para Active Directory debe tener permisos para crear cuentas de equipo en la unidad organizativa donde los equipos están unidos al dominio local.

Con los permisos predeterminados en Active Directory, las combinaciones de dominio de Intune Connector para Active Directory podrían funcionar inicialmente sin modificaciones de permisos en la unidad organizativa en Active Directory. Sin embargo, después de que el servidor que ejecuta Intune Connector para Active Directory intente unir más de 10 equipos al dominio local, dejará de funcionar porque, de forma predeterminada, Active Directory solo permite que cualquier cuenta única una hasta 10 equipos al dominio local.

Los usuarios siguientes no están restringidos por la limitación de unión a 10 dominios de equipo:

• Usuarios de los grupos Administradores o Administradores de dominio: para cumplir con el modelo de principios de privilegios mínimos, Microsoft no recomienda que la cuenta de equipo que ejecuta Intune Connector para Active Directory sea administrador o administrador de dominio.
• Usuarios con permisos delegados en unidades organizativas (OU) y contenedores de Active Directory para crear cuentas de equipo: este método se recomienda porque sigue el modelo de principios de privilegios mínimos.

Para corregir esta limitación, el servidor que ejecuta Intune Connector para Active Directory necesita el permiso Crear cuentas de equipo en la unidad organizativa (OU) a la que se unen los equipos en el dominio local:

Para aumentar el límite de la cuenta de equipo en la unidad organizativa (OU) a la que se unen los equipos durante Windows Autopilot, siga estos pasos en un equipo que tenga acceso a la consola de Usuarios y equipos de Active Directory:

1. Abra la consola de Usuarios y equipos de Active Directory mediante la ejecución de DSA.msc.

2. Expanda el dominio deseado y vaya a la unidad organizativa (OU) a la que se unen los equipos durante Windows Autopilot.

   Nota:

   La unidad organizativa a la que se unen los equipos durante la implementación de Windows Autopilot se especifica más adelante durante el paso Configurar y asignar perfil de unión a dominio .

3. Haga clic con el botón derecho en la unidad organizativa y seleccione Delegar control.

   Nota:

   Si los equipos se unen al contenedor equipos predeterminado en lugar de una unidad organizativa, haga clic con el botón derecho en el contenedor Equipos y seleccione Delegar control.

4. En la ventana Asistente para delegación de controles del Asistente para delegación de controles, seleccione Siguiente.

5. En la ventana Usuarios o grupos , en Usuarios y grupos seleccionados, seleccione Agregar.

6. Junto a Seleccionar este tipo de objeto: en la ventana Seleccionar usuarios, equipos o grupos , seleccione Tipos de objeto.

7. En la ventana Tipos de objeto , active la casilla Equipos y, a continuación, seleccione Aceptar. Los demás elementos de esta ventana se pueden dejar en su valor predeterminado.

8. En la ventana Seleccionar usuarios, equipos o grupos , en el cuadro Escriba los nombres de objeto que desea seleccionar , escriba el nombre del equipo donde se instaló Intune Connector para Active Directory durante el paso Instalar Intune Connector para Active Directory .

9. Seleccione Comprobar nombres para validar la entrada. Una vez validada la entrada, seleccione Aceptar.

10. En la ventana Usuarios o grupos , compruebe que el equipo correcto se muestra en Usuarios y grupos seleccionados y, a continuación, seleccione Siguiente.

11. En la ventana Tareas para delegar , seleccione Crear una tarea personalizada para delegar y, a continuación, seleccione Siguiente.

12. En la ventana Tipo de objeto de Active Directory :

    1. Seleccione Solo los siguientes objetos en la carpeta.

    2. En Solo los siguientes objetos de la carpeta, seleccione Objetos de equipo.

    3. Active la casilla Crear objetos seleccionados en esta carpeta .

    4. Seleccione Siguiente.

13. En la ventana Permisos , en Permisos:, active la casilla Control total y, a continuación, seleccione Siguiente.

    Nota:

    Después de activar la casilla Control total , todas las demás opciones en Permisos: se seleccionan automáticamente. La selección automática de las casillas es normal y esperada. No anule la selección de ninguna de las casillas después de que se activen automáticamente.

14. En la ventana Finalización del Asistente para delegación de controles , seleccione Finalizar.