Anmeldung per PIN gesperrt - GPO jedoch aktiviert?
Hallo zusammen,
ich habe hier mehrere Surface-Geräte mit Windows 10 Pro v1803 (mittlerweile). Eins der Geräte wird so oft beim Kunden im Tablet-Modus verwendet, dass wir die PIN-Anmeldung für den Domäne-User aktivieren müssen. Diese Option ist schon länger auf allen Geräten ausgegraut mit dem Hinweis, dass sie per GPO gemanaged wird... zu der Zeit als ich das Thema erstmalig auf dem Tisch hatte, hatte ich aber definitiv keine passende GPOs gesetzt, da ich noch nicht viel mit Win10 GPOs gespielt hatte.
Vor ca. 1 Jahr mit dem damals aktuellen Windows habe ich es dann geschafft die PIN-Anmeldung zu aktivieren. Wenn ich mich recht entsinne war es dieser Regkey, der den Erfolg gebracht hat:
Diese Option hat auch die verschiedenen Windows 10 Versionsupgrades überlebt.
Jetzt musste ich aufgrund von Software-Problemen Windows neu installieren und habe direkt bei 1803 angefangen... bekomme aber die PIN-Anmeldung nicht zum laufen.
Der Button "Hinzufügen" ist deaktiviert, genauso wie auch die passenden Buttons bei der Gesichtserkennung sowie zum Ändern des Kennworts. Nur die Möglichkeit einen "Bildcode" einzurichten besteht.
Per GPO habe ich schon folgende Optionen aktiviert (rsop.msc bestätigt mir auch, dass sie gesetzt sind):
________
Weitere Tests:
- Ich habe das besagte Testsurface nun auch mal in eine Test-OU gepackt und die Vererbung deaktiviert, ebenfalls ohne Erfolg bzw. mit demselben Fehlerbild. rsop meldet, dass die entsprechenden GPOs nicht definiert sind.
- per gpedit wurden die o.g. Richtlinien zusätzlich lokal gesetzt... ohne Erfolg.
- wenn man das Gerät aus der Domäne raus nimmt, dann kann man dem lokalen Admin eine PIN verpassen (vermutlich auch wenn er in der Domäne ist)
- Anlegen eines neuen lokalen Nutzers (Gerät in der Domäne) -> PIN kann festgelegt werden
-> angemeldet bin ich derzeit als Install Administrator, der in einer OU ohne Vererbung ist, also kann es (vermutlich?) auch keine Userpolicy sein. Lediglich ein Laufwerksmapping und paar Office16.0-Regkeys werden hier gesetzt
(Anmerkung: Dasselbe Verhalten hat wohl auch der Button zum aktivieren der Fingerprint-Anmeldung bei Win10 Geräten, die einen Scanner dran haben. Hier hatte ich in der Vergangenheit auch schon regkeys setzen müssen, u.a. an meinem Dell-Notebook)
________
Was mich halt auch stört ist der Hinweis, dass die Einstellungen von der Organisation veraltet werden obwohl weder User- noch Computer-GPOs im Weg sind. Also muss es ja zwangsläufig ein Regkey sein, den Windows automatisch für Domain-User gesetzt hat?!
Alles leider ohne Erfolg. Hat jemand eine Idee, woran das liegen könnte? Ist es evtl. ein anderer Regkey, der hier dazwischen grätscht?
Für Ratschläge wäre ich euch sehr dankbar.
Grüße, LL
ich habe hier mehrere Surface-Geräte mit Windows 10 Pro v1803 (mittlerweile). Eins der Geräte wird so oft beim Kunden im Tablet-Modus verwendet, dass wir die PIN-Anmeldung für den Domäne-User aktivieren müssen. Diese Option ist schon länger auf allen Geräten ausgegraut mit dem Hinweis, dass sie per GPO gemanaged wird... zu der Zeit als ich das Thema erstmalig auf dem Tisch hatte, hatte ich aber definitiv keine passende GPOs gesetzt, da ich noch nicht viel mit Win10 GPOs gespielt hatte.
Vor ca. 1 Jahr mit dem damals aktuellen Windows habe ich es dann geschafft die PIN-Anmeldung zu aktivieren. Wenn ich mich recht entsinne war es dieser Regkey, der den Erfolg gebracht hat:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001
Diese Option hat auch die verschiedenen Windows 10 Versionsupgrades überlebt.
Jetzt musste ich aufgrund von Software-Problemen Windows neu installieren und habe direkt bei 1803 angefangen... bekomme aber die PIN-Anmeldung nicht zum laufen.
Der Button "Hinzufügen" ist deaktiviert, genauso wie auch die passenden Buttons bei der Gesichtserkennung sowie zum Ändern des Kennworts. Nur die Möglichkeit einen "Bildcode" einzurichten besteht.
Per GPO habe ich schon folgende Optionen aktiviert (rsop.msc bestätigt mir auch, dass sie gesetzt sind):
Computer > Administrative Vorlagen > System > Anmelden
Komfprtable PIN-Anmeldung
Computer > Administrative Vorlagen > System > Windows-Komponente > Biometrie
Verwenden der Biometrie zulassen
Benutzeranmeldung mithilfe von Biometrie zulassen
Domänenbenutzeranmeldung mithilfe von Biometrie zulassen
Computer > Administrative Vorlagen > System > Windows-Komponente > Windows Hello for Business
Biometrie verwenden
Windows Hello for Business verwenden
________
Weitere Tests:
- Ich habe das besagte Testsurface nun auch mal in eine Test-OU gepackt und die Vererbung deaktiviert, ebenfalls ohne Erfolg bzw. mit demselben Fehlerbild. rsop meldet, dass die entsprechenden GPOs nicht definiert sind.
- per gpedit wurden die o.g. Richtlinien zusätzlich lokal gesetzt... ohne Erfolg.
- wenn man das Gerät aus der Domäne raus nimmt, dann kann man dem lokalen Admin eine PIN verpassen (vermutlich auch wenn er in der Domäne ist)
- Anlegen eines neuen lokalen Nutzers (Gerät in der Domäne) -> PIN kann festgelegt werden
-> angemeldet bin ich derzeit als Install Administrator, der in einer OU ohne Vererbung ist, also kann es (vermutlich?) auch keine Userpolicy sein. Lediglich ein Laufwerksmapping und paar Office16.0-Regkeys werden hier gesetzt
(Anmerkung: Dasselbe Verhalten hat wohl auch der Button zum aktivieren der Fingerprint-Anmeldung bei Win10 Geräten, die einen Scanner dran haben. Hier hatte ich in der Vergangenheit auch schon regkeys setzen müssen, u.a. an meinem Dell-Notebook)
________
Was mich halt auch stört ist der Hinweis, dass die Einstellungen von der Organisation veraltet werden obwohl weder User- noch Computer-GPOs im Weg sind. Also muss es ja zwangsläufig ein Regkey sein, den Windows automatisch für Domain-User gesetzt hat?!
Alles leider ohne Erfolg. Hat jemand eine Idee, woran das liegen könnte? Ist es evtl. ein anderer Regkey, der hier dazwischen grätscht?
Für Ratschläge wäre ich euch sehr dankbar.
Grüße, LL
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 378500
Url: https://administrator.de/forum/anmeldung-per-pin-gesperrt-gpo-jedoch-aktiviert-378500.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
3 Kommentare
Neuester Kommentar