Ich möchte heute einmal kurz auf den Unterschied zwischen Windows Hello und Windows Hello for Business eingehen. Anschließend möchte ich euch zeigen, wie man auf einem Windows Server 2016 (1803) mit Active Directory Rolle, dass biometrische Login und die Windows PIN für Clients frei gibt, denn Default sind diese Funktionen deaktiviert.
Erst einmal möchte ich auf den Unterschied eingehen, zwischen Windows Hello und Windows Hello for Business. Dabei möchte ich betonen, dass es das ist was ich in den letzten Wochen heraus finden konnte.
Angefangen hat alles damit, dass ich meine Clients ins Active Directory aufgenommen habe. Vorher war ein Login per NFC(Pilot), FingerPrint oder Passwort an den Clients möglich.
Nach dem die Clients in die AD gehoben wurden und die lokalen User migriert wurden, ging kein Login mehr, bis auf das AD-Passwort des Users.
Es gibt etliche Tutorials im Netz die zeigen, wie man Windows Hello for Business per GPO und in der Regedit aktiviert, jedoch war jede Methode bei mir ohne Erfolg.
Warum das so ist / war, weiß ich leider bis heute nicht, jedoch werde ich in die Richtung auch noch einmal forschen.
Nach langen Probieren und vielen Recherchen, bin ich auf eine Diskussion im Netz gestoßen, wo es drum geht, dass es im AD zwei Arten des Windows Hello gibt.
– Windows Hello -> Freigabe von PIN Eingabe und Biometriklogin
– Windows Hello for Business -> z.B. für die 2 Faktorauthentifizeirung
Nun bin ich der Meinung gewesen, dass im AD das Windows Hello for Business nun das vorher lokale Windows Hello ist / war.
Dem war jedoch nicht so.
Nun musste ich nach etlichen Stunden Recherche feststellen, dass Windows Hello for Business eher für die 2 Faktorauthentifizierung gedacht ist, z.B. wenn die zweite Authentifizierung eine Gesichtserkennung sein soll z.B. per Smartphone.
Nun möchte ich in 1,2,3,4 … Bildern zeigen, wie man per GPO auf den Clients die PIN aktiviert und damit auch automaisch die biometrische Erkennung, bei mir in dem Fall das FingerPrint.
HINWEIS: Diese Freigabe geht nur bei den Betriebssystemen Windows 8.1 oder höher.
Als erstes öffnen wir die Gruppenrichtlinien und legen in den Defaultordner eine neue GPO an (hier im Beispiel LoginPIN_Hello) und klicken auf diese mit der rechten Maustaste. Im aufgeklappten Menü gehen wir hier auf “Bearbeiten”.
Da es sich hier um eine Client spezifische GPO handelt, öffnen wir den Baum “Computerkonfiguration”. Anschließend klappen wir Richtlinien -> Administrative Vorlagen -> System -> Anmeldung auf.
Nun gehen wir im rechten Fenster auf “Komfortable PIN-Anmeldung aktivieren” mit einem linke Maustaste Doppelklick. Anschließend öffnet sich das Fenster, um diese Funktion zu aktivieren.
Wählt hier “Aktivieren” aus und speichern sie Einstellung ab.
Um auf Nummer sicher zu gehen, gehen wir nun noch einmal zu Windows Hello for Business, um zu prüfen ob auch alle Werte auf Default stehen.
Als erstes gehen wir zurück bis zu Administrative Vorlagen und klappen dann den Ordner Windows-Komponenten auf.
Hier scrollen wir runter bis wir zu dem Ordner Windows “Hello for Business” und klicken in diesem Ordner alle Regeln einmal durch und prüfen ob alle Werte auch auf Default gesetzt sind.
Passt das alles, haben wir es auch schon geschafft. Ihr könnt nun die GPO auf euren Clients verteilen.
HINWEIS !!! Gibt auf den betroffenen Clients in der CMD pgupdate /force ein. Mit diesem Befehl werden die neuen GPO-Regeln importiert.
ACHTUNG !!! Die GPO ist erst nach einem Systemneustart gültig.
TIPP: Nach dem Neustart wollte ihr nun den FingerPrint Sensor aktivieren und einen eurer Finger registrieren. Nun meckert Windows jedoch rum, dass der Finger bereits verwendet wurde. Bekommt ihr diese Meldung, bedeutet es, dass der Finger noch von einem alten Account, meistens der vorherige lokale User, auf dem System gefunden wurde.
Diesen Fehler könnt ihr jedoch ganz einfach lösen, in dem ihr die dazugehörige Datei einfach löscht.
Und das geht so:
- Öffne “Dienste” als Administrator
- Stopp den Dienst “Windows Biometric service” (WbioSrvc)
- Lösche den Inhalt von “C:\Windows\System32 WinBioDatabase” (sicherheitshalber Backup)
- Starte den Dienst WbioSrvc wieder
Nun wünsche ich euch viel Spaß beim Einrichten eurer PIN und dem biometrischen Login.