none
Anmeldung mit PIN an RDP / Exchange ausblenden? RRS feed

  • Frage

  • Hallo,

    mit aktivem Windows Hello ist hier den Usern in der Domäne erlaubt, sich per Fingerabdruck / Kamera anzumelden. Dazu wird zwangsweise auch eine PIN zur Geräteanmeldung verwendet. Dies funktioniert soweit problemlos.

    Wenn die User allerdings im laufenden Betrieb eine Anmeldeaufforderung bekommen, z.B. beim Anmelden an RDP Sessions (Server 2012 R2, teilweise Server 2016) oder auch am Exchange (2019) via Outlook (365), sobald sie nicht im Hause sind, bekommen sie in der Anmeldung ebenfalls die PIN Anmeldung angeboten. Diese funktioniert hier aber nicht. 

    Leider lässt sich die PIN Anmeldung aber an der Stelle offenbar auch nicht ausblenden. Es ist ja völlig sinnlos, dass dort die Anmeldung per PIN angeboten wird, wenn das eh generell nicht funktionieren kann. 

    Ich möchte gerne, dass die Nutzer die PIN bei der Anmeldung am Gerät nutzen können, danach aber grundsätzlich nur nach dem Passwort gefragt werden, falls weitere Anmeldungen notwendig sind. Geht das?

    Alternativ wäre die Frage, ob man mittlerweile eine PIN Anmeldung für RDP oder On-Premise Exchange nutzen kann. 

    Verwendet werden Windows 10 Enterprise 1809 Clients und die Domäne ist auf Stand 2012 R2, es sind allerdings auch schon 2019er DCs vorhanden. Die Domäne läuft mit AzureAD Hybrid Anbindung. 

    Danke für Tipps!

    Dienstag, 29. Oktober 2019 16:12

Alle Antworten

  • Hi,

    du kannst per GPO Steuern, dass auf Servern nur eine Anmeldung mit Passwort erlaubt ist. Wege dazu gibt es mehrere.

    Wenn du deine Server in einer eigenen Gruppe verwaltest, kannst du dieser Gruppe eine GPO zuweisen, die die Authentifizierungsmöglichkeiten regelt.

    Du kannst aber auch deine jetzige GPO, die die Authentifizierung per Fingerabdruck erlaubt, per Filter so einstellen, dass nur auf Clientbetriebssystemen greift.

    Und es gibt noch einige, andere Wege.

    Gruß

    Dienstag, 29. Oktober 2019 16:35
  • Hi, 

    danke für die Hinweise. Die GPO für Windows Hello gilt aktuell sowieso nur für Clients. Es ist ja aber auch der Client, der bei mstsc oder Outlook eben eine mögliche Authentifizierung per Windows Hello anzeigt. 

    Was auf den Servern erlaubt ist und was nicht, beeinflusst dies überhaupt nicht.

    Grüße, 

    Mittwoch, 30. Oktober 2019 08:19