none
Windows Hello v doméně RRS feed

  • Dotaz

  • Dobrý den, dovolím si poprosit o vysvětlení, jak se chová Windows Hello v doméně.

    Konkrétní situace: Windows Server 2016 Std jako domain controller + notebook s čtečkou otisků prstů, s Windows 10 Pro (1903) jako člen domény. Veškeré nastavení GPO je defaultní.

    Před přidáním PC do domény byla funkce Windows Hello přístupná, po přidání do domény přístupná není. Jak je popsáno, je to tak správně, od této chvíle se nastavení Windows Hello řídí přes GPO.

    Dál jsem ale již ztroskotal: V GPO jsem vytvořil OU "Hello", do které jsem přidal dotyčný notebook. Pak jsem v GPO vytvořil objekt zásad "GPO Hello" a propojil ho s touto OU. Objektu zásad jsem nastavil:

    Konfigurace počítače - Šablony pro správu - Součásti systému Windows - biometrika (povoleno: Povolit použití biometriky, Povolit uživatelům přihlašovat se pomocí biometriky, Povolit uživatelům domény přihlašovat se pomocí biometriky)

    Konfigurace počítače - Šablony pro správu - Systém - Přihlášení (povoleno: Zapnout přihlášení praktikým PIN kódem)

    Nakonec gpupdate/force na notebooku pod administrátorským účtem a restart.

    Když si vypíšu výsledné politiky (gpresult /H gpreport.html), tak vidím, že se zásady používají. Ale Windows Hello stejně nastavit nejde: PIN, otisk prstu, snímek obličeje - všude je napsáno, že funkce není dostupná).

    Nevím, jestli na to nejdu úplně špatně. Podle některých popisů na webu mi to přijde, že windows Hello je pro samostatný PC, kdežto pro PC v doméně by se mělo nastavit Windows Hello for Business. To ale už (podle popisů) není jen o nastavení zásad v GPO, musí se doinstalovat role serveru Active Directory Certificate Services atd.

    Jak to tedy je?

    Děkuju za poučení. Martd.


    mart

    pátek 14. února 2020 9:48

Odpovědi

  • Predpokladam, ze vysledkem celeho snazeni je umoznit uzivatelum nadale pouzivat biometriku a toto si budou ridit uzivatele nadale sami.

    potom povolit GPO - Turn on Convenience PIN sign-in

    NENASTAVOVAT (not configure)- Computer Configuration\Administrative Templates\Windows Components\Windows Hello for Business\

    Pripadne zkontrolovat
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
    "AllowDomainPINLogon"=dword:00000001

    A ja jsem jeste povolil
    Computer Configuration\Administrative Templates\Windows Components\Biometrics
    Allow users ...

    vsechny ty politiky pro business jsou o vynucovani nastaveni = bezne nikdo nechce.

    Uz se tu stejny problem resil.
    • Upravený Miroslav Tiser pátek 14. února 2020 11:16
    • Označen jako odpověď martd pátek 14. února 2020 12:34
    pátek 14. února 2020 11:16

Všechny reakce

  • Predpokladam, ze vysledkem celeho snazeni je umoznit uzivatelum nadale pouzivat biometriku a toto si budou ridit uzivatele nadale sami.

    potom povolit GPO - Turn on Convenience PIN sign-in

    NENASTAVOVAT (not configure)- Computer Configuration\Administrative Templates\Windows Components\Windows Hello for Business\

    Pripadne zkontrolovat
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
    "AllowDomainPINLogon"=dword:00000001

    A ja jsem jeste povolil
    Computer Configuration\Administrative Templates\Windows Components\Biometrics
    Allow users ...

    vsechny ty politiky pro business jsou o vynucovani nastaveni = bezne nikdo nechce.

    Uz se tu stejny problem resil.
    • Upravený Miroslav Tiser pátek 14. února 2020 11:16
    • Označen jako odpověď martd pátek 14. února 2020 12:34
    pátek 14. února 2020 11:16
  • Tak jsem tedy nastavil jen:

    Konfigurace počítače - Šablony pro správu - Součásti systému Windows - biometrika (povoleno: Povolit použití biometriky, Povolit uživatelům přihlašovat se pomocí biometriky, Povolit uživatelům domény přihlašovat se pomocí biometriky)

    Konfigurace počítače - Šablony pro správu - Systém - Přihlášení (povoleno: Zapnout přihlášení praktikým PIN kódem)

    V regitrech je to tak, jak píšete. Ale ani po gpupdate/force se toneprojevilo.




    mart

    pátek 14. února 2020 11:59
  • Podařilo se mi najít tu starší diskusi. Nastavené to tak mám.

    Z mně neznámého důvodu se nastavení aplikovalo až po několika gpupdate/force. Asi 2x jsem PC restartoval a najednou se možné vše nastavit.

    P. Tišere, díky  moc.


    mart

    pátek 14. února 2020 12:33