mittenwaelder
Goto Top

Win 10 Client in Domäne - Anmeldung per Fingerprint, Hello ausgegraut

Hallo Leute,

vielleicht hat jemand einen Rat von Euch...

- Neuer Laptop (Thinkpad X1 Yoga) mit Win 10
- Nach Anmeldung an Domäne sind die "Windows Hello" Anmeldemöglichkeiten alle ausgegraut,- also nicht möglich. Somit kann ich keine Anmeldung per Fingerprint konfigurieren.
- Nehme ich den Rechner aus der Domäne sind alle Anmeldemöglichkeiten vorhanden

Beim bisherigen Laptop mit Win8.1 war das einrichten des Fingerprint möglich, bzw. läuft auch noch. Ebenso bei allen verwendeten W7 Clients.

Hat jemand eine Idee oder das gleiche Problem?


Herzlichen Dank vorab
VG, Klaus

Content-Key: 338769

Url: https://administrator.de/contentid/338769

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: 132895
132895 24.05.2017 aktualisiert um 10:53:24 Uhr
Goto Top
Vielleicht per Gruppenrichtlinie die Nutzung verboten? Check das mal als erstes per gpresult oder rsop.msc ab.

Gruß
Mitglied: MettGurke
Lösung MettGurke 24.05.2017 um 10:56:13 Uhr
Goto Top
Hi,

das hatte ich auch mal. Ich habe folgenden Reg-Eintrag gesetzt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
„AllowDomainPINLogon“=dword:00000001

Nach einem reboot ging es dann bei mir

Cheers MettGurke
Mitglied: 132895
132895 24.05.2017 aktualisiert um 10:59:25 Uhr
Goto Top
Zitat von @MettGurke:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
„AllowDomainPINLogon“=dword:00000001
Deswegen ja die GPOs checken, denn der Schlüssel ist ja für die Policies. Manuelles rumfummeln bei einer Domainmitgliedschaft bringt da nichts.
Mitglied: Belloci
Belloci 24.05.2017 um 11:14:36 Uhr
Goto Top
Mahlzeit zusammen,

jetzt wäre nur noch hilfreich zu wissen, welche GPO dafür zuständig ist und natürlich wo sie genau zu finden ist face-smile

Gruß,
Belloci
Mitglied: 132895
132895 24.05.2017 aktualisiert um 11:55:14 Uhr
Goto Top
Zitat von @Belloci:

Mahlzeit zusammen,

jetzt wäre nur noch hilfreich zu wissen, welche GPO dafür zuständig ist und natürlich wo sie genau zu finden ist face-smile

Administrative Vorlagen > Windows Komponenten > Windows Hello for Business
oder
Administrative Vorlagen > Windows Komponenten > Biometrie
bzw.
Administrative Vorlagen > System > Anmeldung > Komfortabe Pin .....
Mitglied: Belloci
Belloci 24.05.2017 um 11:28:40 Uhr
Goto Top
Ich danke!
Mitglied: Mittenwaelder
Mittenwaelder 24.05.2017 um 11:51:04 Uhr
Goto Top
Hi MettGurke,

das hat geklappt. Vielen Dank. face-smile


Bzgl. der Gruppenrichtlinien... Wie schon erwähnt. Alle anderen Clients Win8.1 und Win7 funktionieren. Nur nicht der neue Win10...

Herzlichen Dank Euch allen.
VG, Klaus
Mitglied: Herbrich19
Herbrich19 27.05.2017 um 01:07:11 Uhr
Goto Top
Hallo,

Ja, die Registry zu Editieren ist an sich gut aber leider wird so bald die GPO,s übernommen werden diese Änderung wieder hinfällig. Also solltest du eine GPO Definieren die den Computern in der Domäne die Anmeldung über Windows Hello erlaubt.

Abgesehen davon ist die PIN so wieso recht sicher weil man für das selbe Konto (Domäne Konto) an jeden Gerät eigene Passwörter hat. Und Fingerabdruck ist sehr sicher in der Hinsicht dass man nicht das Passwort oder die Pin abkucken kann.

Wen die Domäne noch auf 2008 r2 läuft dann brauchst du noch die Windows 10 ADMX Files und bei Windows Server 2003 Domänen musst die ADM Datein auf den Informationen die in der ADMX drinnen stehen erstellen. Alerdings wird Windows Server 2003 auch eh nicht mehr Supportert.

Gruß an die IT-Welt,
J Herbrich
Mitglied: xray1976
xray1976 28.10.2018 um 13:34:54 Uhr
Goto Top
Hallo

Ich suche schon längerer Zeit eine Lösung für das gleiche Problem im Hinblick auf die aktuelle Windows 10 Version und Gesichtserkennung.

Diesen Wert habe ich bereits über GPO gesetzt (ADMX Files auf Windows Server 2008R2 nachinstalliert).

Als ergebnis sehe ich, dass dieser Regkey per GPO gesetzt wurde.

interactive logon habe ich auch schon deaktiviert:
https://support.microsoft.com/de-at/help/3169080/facial-recognition-logo ...

Auch Windows Hello for Business habe ich deaktiviert.

Alles ohne erfolgt. Hast du noch eine Idee?
04_windows hello for business disabled
05_windows settings grey
03_interactivelogon
02_min pin length
01_allowdomainpinlogon
Mitglied: uk1989
uk1989 06.12.2018 um 13:12:01 Uhr
Goto Top
Hallo xray1976,

habe das gleiche Problem... Alle GPOs sind gesetzt, allerdings ist Hello und PIN ausgegraut. Hast du schon eine Lösung gefunden?
Mitglied: 137846
137846 06.12.2018 aktualisiert um 13:24:12 Uhr
Goto Top
habe das gleiche Problem... Alle GPOs sind gesetzt, allerdings ist Hello und PIN ausgegraut. Hast du schon eine Lösung gefunden?
Folgenden Thread lesen, in Domänen sind andere Depoymentanforderungen für Windows Hello erforderlich:
Windows Hello in Domäne
Und zwar musst du dieser Anleitung folgen:
Lokale Bereitstellung mit schlüsselbasiertem Vertrauensmodell

Gruß A.
Mitglied: xray1976
xray1976 09.12.2018 um 11:07:14 Uhr
Goto Top
Hallo

Ich habe das Surface wieder auf Werkseinstellungen zurück gesetzt und dann mit Azure Domain gejoined. Mit der lokalen Domain vom Domaincontroller schaffte ich nicht, dass es funtkioniert.

Nachdem ich eine Hybrid Umgebung mit SBS und Azure habe ist das für mich aktuell ein akzeptabler weg. Vermutlich will Microsoft auch Azure forcieren.
Mitglied: 137846
137846 09.12.2018 aktualisiert um 11:17:59 Uhr
Goto Top
Mit der lokalen Domain vom Domaincontroller schaffte ich nicht, dass es funtkioniert.
Letzten Link im letzten Kommentar lesen, dann klappt das auch OnPremise ohne irgendwelches Cloud-Gedöhns!
Hab ich ja selbst erst letztens so beim Kunden umgesetzt ...