lukluk
Goto Top

Anmeldung per PIN gesperrt - GPO jedoch aktiviert?

Hallo zusammen,
ich habe hier mehrere Surface-Geräte mit Windows 10 Pro v1803 (mittlerweile). Eins der Geräte wird so oft beim Kunden im Tablet-Modus verwendet, dass wir die PIN-Anmeldung für den Domäne-User aktivieren müssen. Diese Option ist schon länger auf allen Geräten ausgegraut mit dem Hinweis, dass sie per GPO gemanaged wird... zu der Zeit als ich das Thema erstmalig auf dem Tisch hatte, hatte ich aber definitiv keine passende GPOs gesetzt, da ich noch nicht viel mit Win10 GPOs gespielt hatte.

Vor ca. 1 Jahr mit dem damals aktuellen Windows habe ich es dann geschafft die PIN-Anmeldung zu aktivieren. Wenn ich mich recht entsinne war es dieser Regkey, der den Erfolg gebracht hat:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001  

Diese Option hat auch die verschiedenen Windows 10 Versionsupgrades überlebt.

Jetzt musste ich aufgrund von Software-Problemen Windows neu installieren und habe direkt bei 1803 angefangen... bekomme aber die PIN-Anmeldung nicht zum laufen.
Der Button "Hinzufügen" ist deaktiviert, genauso wie auch die passenden Buttons bei der Gesichtserkennung sowie zum Ändern des Kennworts. Nur die Möglichkeit einen "Bildcode" einzurichten besteht.

Per GPO habe ich schon folgende Optionen aktiviert (rsop.msc bestätigt mir auch, dass sie gesetzt sind):
Computer > Administrative Vorlagen > System > Anmelden
Komfprtable PIN-Anmeldung

Computer > Administrative Vorlagen > System > Windows-Komponente > Biometrie
Verwenden der Biometrie zulassen
Benutzeranmeldung mithilfe von Biometrie zulassen
Domänenbenutzeranmeldung mithilfe von Biometrie zulassen

Computer > Administrative Vorlagen > System > Windows-Komponente > Windows Hello for Business
Biometrie verwenden
Windows Hello for Business verwenden

________

Weitere Tests:
- Ich habe das besagte Testsurface nun auch mal in eine Test-OU gepackt und die Vererbung deaktiviert, ebenfalls ohne Erfolg bzw. mit demselben Fehlerbild. rsop meldet, dass die entsprechenden GPOs nicht definiert sind.
- per gpedit wurden die o.g. Richtlinien zusätzlich lokal gesetzt... ohne Erfolg.
- wenn man das Gerät aus der Domäne raus nimmt, dann kann man dem lokalen Admin eine PIN verpassen (vermutlich auch wenn er in der Domäne ist)
- Anlegen eines neuen lokalen Nutzers (Gerät in der Domäne) -> PIN kann festgelegt werden
-> angemeldet bin ich derzeit als Install Administrator, der in einer OU ohne Vererbung ist, also kann es (vermutlich?) auch keine Userpolicy sein. Lediglich ein Laufwerksmapping und paar Office16.0-Regkeys werden hier gesetzt

(Anmerkung: Dasselbe Verhalten hat wohl auch der Button zum aktivieren der Fingerprint-Anmeldung bei Win10 Geräten, die einen Scanner dran haben. Hier hatte ich in der Vergangenheit auch schon regkeys setzen müssen, u.a. an meinem Dell-Notebook)
________

Was mich halt auch stört ist der Hinweis, dass die Einstellungen von der Organisation veraltet werden obwohl weder User- noch Computer-GPOs im Weg sind. Also muss es ja zwangsläufig ein Regkey sein, den Windows automatisch für Domain-User gesetzt hat?!


Alles leider ohne Erfolg. Hat jemand eine Idee, woran das liegen könnte? Ist es evtl. ein anderer Regkey, der hier dazwischen grätscht?
Für Ratschläge wäre ich euch sehr dankbar.

Grüße, LL

Content-ID: 378500

Url: https://administrator.de/forum/anmeldung-per-pin-gesperrt-gpo-jedoch-aktiviert-378500.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

emeriks
emeriks 28.06.2018 um 11:09:37 Uhr
Goto Top
Hi,
am Rande:
Wenn man an einer OU die GPO-Vererbung deaktiviert, dann werden trotzdem noch GPO's angewendet, welche an höheren OU's oder der Domäne erzwungen werden ("force").

E.
lukluk
lukluk 28.06.2018 um 11:38:10 Uhr
Goto Top
Servus
danke für den interessanten Hinweis, das war mir neu. Aber erzwungene GPOs haben wir keine, habe ich gerade überprüft.
Eine GPO habe ich nun auch auf "erzwungen" gesetzt... diese taucht dann mit einem kleinen Schloss am Icon auch in der Liste der verknüpften GPOs auf. Also kann ich ausschließen, dass sich irgendwo eine erzwungene GPO vor mir versteckt.

Grüße, LL
lukluk
lukluk 28.06.2018 um 13:14:58 Uhr
Goto Top
Hallo nochmal, Hallo Nachwelt.
Ich glaube, ich habe die Lösung gefunden. Ein unscheinbarer Blogeintrag von 2017 im weiten Internetz brachte Erleuchtung.
Der Regkey muss wie oben beschrieben gesetzt werden aber zusätzlich darf die Einstellung "Allow Windows Hello for Business" NICHT konfiguriert werden.

Zitat:

There are a few other considerations, however. First, the setting controlling Windows Hello for Business must be left as “Not Configured”. Enabling or disabling this setting makes PIN inaccessible again.
Quelle: https://www.windowsmanagementexperts.com/windows-10-pin-domain-joined-de ...

Nachdem diese Einstellung raus war (GPO sowie lokale Richtlinien) hat es nach ein paar Neustarts auch geklappt eine PIN zu setzen.

Grüße, LL