michi1983
Goto Top

Windows Hello Einstellungen einfach weg

Hallo liebe Admins,

ich habe die hauseigene IT schon kontaktiert und ihnen das Problem geschildert. Da ich aber seit Wochen nix gehört habe, dachte ich mir ich frage einfach hier mal nach, ob eventuell jemand von euch dieses "Phänomen" schon mal erlebt hat.

Ich habe ein Lenovo Thinkpad X1 Carbon der aktuellsten Generation mit dem aktuellsten Windows 11.

Ich kann in "Windows Hello" meinen Fingerprint und/oder mein Gesicht als biometrische Daten zum Entsperren des Laptops einrichten. Zusätzlich wird natürlich auch ein Pin verlangt.

Das funktioniert auch alles einwandfrei...
bist zu dem Zeitpunkt wo ich ins Büro komme und mein Notebook an der Dockingstation anschließe.
Danach sind alle biometrischen Daten einfach weg.
Solange ich mich im Büro befinde, kann ich Windows Hello zig mal einrichten, nach ein paar Minuten verliert der Laptop ohne weiteres zutun die Einstellungen wieder.

Wenn ich im Home Office bin, passiert das nicht. Da bleiben die Einstellungen erhalten und funktionieren wie es auch gedacht ist.

Wir haben hier eine Windows Domäne im Büro. Mehr Infos habe ich leider nicht dazu. Kann ich aber in Erfahrung bringen.

Offenbar werden "einige" Einstellungen über GPOs gesteuert (verstehe ich das richtig? Bin kein Windows Kenner)
2023-01-18 11_03_50-einstellungen

Kennt zufällig jemand von euch dieses Problem?

Danke und Gruß
Michi

Content-Key: 5451704233

Url: https://administrator.de/contentid/5451704233

Printed on: July 25, 2024 at 19:07 o'clock

Member: MarFra
MarFra Jan 18, 2023 at 10:22:51 (UTC)
Goto Top
Guten Morgen,

ich mutmaße mal.

Wenn du das Notebook an die Dockingstation im Betrieb anschließt. Verbindet er sich doch sicher direkt mit der Domäne und dann dementsprechend mit deinem Nutzernamen in der Domäne. Ist das Profil bei dem du dich mit deiner Biometrie einloggst vielleicht ein Lokales Nutzerprofil auf deinem Notebook.

Ich kann hier auch völlig daneben liegen, ich vermute aber dass dein Lokales Profil genutzt wird wenn du zuhause bist und dein Domänenprofil wenn du auf Arbeit bist. Die heißen dann vielleicht gleich, sind für Windows aber 2 verschiedene paar Schuhe. Man kann ja z.B. ein Admin Profil in der Domäne haben und dann ein Admin Profil lokal auf dem Notebook. Bist du nicht mit der Domäne verbunden kannst du auch nicht auf das Profil darin zugreifen.

Jetzt weiß ich aber nicht wie sich dieses Windows Hello in einer Domäne verhält. Kann aber durchaus sein dass das von euren Admins nicht gewollt ist bzw. nicht konfiguriert ist.


WIE GESAGT! Angaben ohne Gewähr. face-smile Vielleicht hilft dass ja.

Grüße MarFra
Member: michi1983
michi1983 Jan 18, 2023 at 10:27:36 (UTC)
Goto Top
Hallo @MarFra,

danke für deinen Input.

Also ja, mein Konto ist ein lokales Admin Konto (keine Diskussion darüber bitte) und ich denke (wie gesagt, sorry, ich bin hier kein Windows Kenner), dass dieses Konto auch in der Domäne existiert.

Unsere Admins wollen Windows Hello nicht verbieten. Und was mich auch stutzig macht, irgendwas muss sich verändert haben, denn das hat ja bereits funktioniert.

Aber die IT tappt seit Wochen im Dunkeln und findet keine Lösung für das Problem.

Gruß
Michi
Member: em-pie
em-pie Jan 18, 2023 at 10:34:15 (UTC)
Goto Top
Moin,

schuss ins blaue:
Dein Profil ist einer servergespeichertes Profil.
Beim Abmelden im Büro wird es nicht sauber auf den Server zurückgeschrieben.
Beim Anmelden im Büro werden folglich die zuvor im Profil hinterlegten Daten nicht vom Server geladen, sondern ein Stand ohne die biometrischen Daten.

Was allerdings dagegen spricht:
Solange ich mich im Büro befinde, kann ich Windows Hello zig mal einrichten, nach ein paar Minuten verliert der Laptop ohne weiteres zutun die Einstellungen wieder.
Denn das würde untertägig/ während einer laufenden Anmeldung nicht passieren.

Deine/ eure IT soll mal die Gruppenrichtlinen checken...
Member: michi1983
michi1983 Jan 18, 2023 at 13:47:47 (UTC)
Goto Top
Hi @em-pie,

habe gerade nochmal eine Mail von unserem Helpdesk bekommen.
Laut denen, ist das ein "known bug" im Dezember Update.

Wenn ich allerdings diese Liste hier anschaue:
https://learn.microsoft.com/en-us/windows/release-health/status-windows- ...
dann kann ich das nicht nachvollziehen.

Naja, bleibt mir nichts anderes übrig als abzuwarten.... oder nicht mehr ins Büro zu fahren face-big-smile
Member: MrHeisenberg
MrHeisenberg Jan 18, 2023 at 13:55:55 (UTC)
Goto Top
Hi,

Es kann sein dass wenn du im Home-Office arbeitest über die VPN nicht alles Synchron läuft, dH es kann sein dass ggf. GPO´s nicht sauber übernommen werden.

Du kannst hier zuerst einen Test machen:
Homeoffice, richte Windows Hello ein, da du lokaler Admin bist am Gerät führe dann cmd aus mit gpupdate/force während du mit der VPN zur Firma verbunden bist.

Sollte es nun Probleme mit HELLO geben, dann sind die GPO´s schuld mit ziemlicher Sicherheit, ich bin mir jetzt nicht 100% sicher, aber wenn die IT Windows Hello via GPO nicht aktiviert hat, dann glaube ich dass es nicht funktioniert, müsste dazu selbst einen Test auf unserem AD machen.

Treiber oder ähnliches kann man ausklammern da es bei dir Zuhause funktioniert, ebenfalls Windows Updates.

Ich vermute stark dass hier in den Richtlinien eingestellt werden muss, eine weitere Frage:

Wenn du in der Firma bist, startest du da dein Gerät an der Dock neu? also nicht "Herunterfahren" und wieder den Power-Button sondern dezidiert einen Neustart?

Ich kann dir aus Erfahrung sagen dass wir Probleme mit den Richtlinien im Homeoffice hatten, und nach einem Reboot oder einem gpupdate/force in der Firma waren die Probleme dann passé.

Würde aber diese Dinge nur in Absprache mit der IT machen, je nachdem wie gechillt die sind, nur eine Persönliche Meinung.

Grüße
Member: michi1983
michi1983 Jan 18, 2023 at 14:11:18 (UTC)
Goto Top
Zitat von @MrHeisenberg:
Du kannst hier zuerst einen Test machen:
Homeoffice, richte Windows Hello ein, da du lokaler Admin bist am Gerät führe dann cmd aus mit gpupdate/force während du mit der VPN zur Firma verbunden bist.
Ich habe mich jetzt mal vom Netzwerk abgesteckt und über das mobile Internet mittels VPN verbunden.
Alle Einstellungen neu vorgenommen und mal das
gpudate /force
ausgeführt.
Jetzt beobachte ich mal

Sollte es nun Probleme mit HELLO geben, dann sind die GPO´s schuld mit ziemlicher Sicherheit, ich bin mir jetzt nicht 100% sicher, aber wenn die IT Windows Hello via GPO nicht aktiviert hat, dann glaube ich dass es nicht funktioniert, müsste dazu selbst einen Test auf unserem AD machen.
Aktiviert ist es sicherlich, es hat ja schon funktioniert.

Treiber oder ähnliches kann man ausklammern da es bei dir Zuhause funktioniert, ebenfalls Windows Updates.
Korrekt.

Ich vermute stark dass hier in den Richtlinien eingestellt werden muss, eine weitere Frage:

Wenn du in der Firma bist, startest du da dein Gerät an der Dock neu? also nicht "Herunterfahren" und wieder den Power-Button sondern dezidiert einen Neustart?
Ich stecke mein komplett ausgeschaltetes Notebook an und fahre es dann hoch.

Ich kann dir aus Erfahrung sagen dass wir Probleme mit den Richtlinien im Homeoffice hatten, und nach einem Reboot oder einem gpupdate/force in der Firma waren die Probleme dann passé.
Werde ich beobachten.

Würde aber diese Dinge nur in Absprache mit der IT machen, je nachdem wie gechillt die sind, nur eine Persönliche Meinung.
Die sind "zu" gechillt. Sonst hätten wir nicht alle Admin Rechte...

Grüße
Gruß
Member: MrHeisenberg
MrHeisenberg Jan 18, 2023 at 14:20:14 (UTC)
Goto Top
Wenn du in der Firma bist, startest du da dein Gerät an der Dock neu? also nicht "Herunterfahren" und wieder den Power-Button sondern dezidiert einen Neustart?
Ich stecke mein komplett ausgeschaltetes Notebook an und fahre es dann hoch.

Versuche dann statt einem "normalen" einmal in der Firma einen reboot, dann werden alle Einstellungen auf default gesetzt sowie die Gruppenrichtlinien korrekt (hoffentlich) übernommen

grüße
Member: michi1983
michi1983 Jan 18, 2023 at 14:40:41 (UTC)
Goto Top
Also wenn ich mobil inkl. VPN verbunden bin, halten die Settings auch alle.
Ich habe jetzt die mobile Verbindung nochmal deaktviert und bin jetzt im Firmen internen WLAN.
Mal sehen wie es sich da verhält.
Falls das auch passen sollte, stecke ich nochmal die Docking station an (aber das sollte eigentlich keinen Unterschied machen. Ich bin ja sobald ich im Netzt bin in der Domäne).
Ich werde berichten...
Member: michi1983
michi1983 Jan 18, 2023 updated at 15:07:31 (UTC)
Goto Top
Sodale, sobald ich den LAN Adapter wieder aktivieren und ich WLAN abdrehe, ists vorbei und die Settings gehen flöten.
Solange ich im WLAN bin aber, läuft alles normal, ist das zu erklären?
Member: MrHeisenberg
MrHeisenberg Jan 18, 2023 at 15:11:56 (UTC)
Goto Top
Zitat von @michi1983:

Sodale, sobald ich den LAN Adapter wieder aktivieren und ich WLAN abdrehe, ists vorbei und die Settings gehen flöten.
Solange ich im WLAN bin aber, läuft alles normal, ist das zu erklären?

naja jetzt ist der Ratemeiser am Zuge, WLAN ist ein Guest-Wlan? kannst du vom WLAN aus den Domaincontroller erreichen?

Ich vermute dass du übers LAN die neuen Richtlinien bekommst, und dort Windows HELLO nicht eingerichtet ist bzw. deaktiviert wurde.
Alles was jetzt in die Tiefe geht muss ein Sysadmin machen welcher auf den Domaincontroller kommt.

du kannst ja deiner gechillten IT mal ein gpresult zukommen lassen, damit die die Fehlersuche etwas eingrenzen können.

Grüße
Member: michi1983
michi1983 Jan 18, 2023 at 15:27:09 (UTC)
Goto Top
Zitat von @MrHeisenberg:
naja jetzt ist der Ratemeiser am Zuge, WLAN ist ein Guest-Wlan? kannst du vom WLAN aus den Domaincontroller erreichen?

Es ist kein Guest WLAN, ist das interne WLAN worauf ich auf alle Ressourcen komme. Keine Ahnung ob ich den Domaincontroller erreiche face-big-smile
Aber nach einem nmap Scan komme ich zumindest auf ein paar ALLNET Produkte (Temperaturfühler, ich schätze vom Server Raum. OMG, warum ist das Zeugs nicht in einem eignene VLAN...), Schneider Elekctric, Cisco Switch, Powerchute (keine Ahnung was das ist) und eine USV.

du kannst ja deiner gechillten IT mal ein gpresult zukommen lassen, damit die die Fehlersuche etwas eingrenzen können.
Werde ich tun.

Grüße
Gruß
Member: 7Gizmo7
7Gizmo7 Jan 18, 2023 updated at 21:03:52 (UTC)
Goto Top
Member: Smilz23
Smilz23 Mar 10, 2023 at 20:50:37 (UTC)
Goto Top
Dabei ist es os einfach.

MS interessiert nicht, was du willst.

Windows Hello - z.B. Gesichtserkennung geht nicht mit einem
Admin Account - ist so programmiert.
Man soll nicht als Admin arbeiten und wers doch tut, der kriegt Probleme.

Steht so im MCSE Board.
Member: michi1983
michi1983 Mar 10, 2023 at 21:02:51 (UTC)
Goto Top
Das Thema ist seit gut 3 Tagen gelöst.
Laut Admin war es eine alte GPO die aktiv wurde obwohl sie es nicht sollte.

Jetzt läuft wieder alles wie es soll und mein Laptop behält die Biometrischen Daten.

Danke für eure Tipps.

Gruß