Windows Hello for Business nach Aktivierung wieder deaktivieren
Hallo zusammen,
ich habe das Problem, das ich für meine Firmen-Domäne eine neue GPO erstellt habe, um Windows "Hello for Business" und somit die Anmeldung per PIN/Fingerabdruck zu ermöglichen.
Dies hat auch wunderbar geklappt und die User können sich an den zugelassenen Geräten eine PIN/Fingerabdruck erstellen und sich damit anmelden.
Allerdings ist mir beim Testen aufgefallen wenn ich dem Gerät die GPO wieder entziehe können sich die Nutzer trotzdem noch mit der PIN anmelden aber die PIN/Fingerabdruck nicht wieder löschen oder ändern.
Kann man das irgendwie einrichten das, wenn die GPO dem Gerät wieder entzogen wurde sich die User dort nicht mehr mit der PIN/Fingerabdruck, sondern nur mit dem normalen Passwort anmelden können?
Einstellungen an der GPO(Computerkonfiguration):
1.Administrative Vorlagen > Windows Komponenten > Hello for Business > Biometrie verwenden (Registry based Preference)
2.Administrative Vorlagen > Windows Komponenten > Biometrie > Verwendung der Biometrie zulassen
3.Administrative Vorlagen > Windows Komponenten > Biometrie > Benutzeranmeldung mithilfe der Biometrie zulassen
4.Administrative Vorlagen > Windows Komponenten > Biometrie > DWindoomänenbenutzeranmeldung mithilfe von Biometrie zulassen
5.Administrative Vorlagen > System > Anmeldung > Komfortabe Pin-Anmeldung aktivieren
ich habe das Problem, das ich für meine Firmen-Domäne eine neue GPO erstellt habe, um Windows "Hello for Business" und somit die Anmeldung per PIN/Fingerabdruck zu ermöglichen.
Dies hat auch wunderbar geklappt und die User können sich an den zugelassenen Geräten eine PIN/Fingerabdruck erstellen und sich damit anmelden.
Allerdings ist mir beim Testen aufgefallen wenn ich dem Gerät die GPO wieder entziehe können sich die Nutzer trotzdem noch mit der PIN anmelden aber die PIN/Fingerabdruck nicht wieder löschen oder ändern.
Kann man das irgendwie einrichten das, wenn die GPO dem Gerät wieder entzogen wurde sich die User dort nicht mehr mit der PIN/Fingerabdruck, sondern nur mit dem normalen Passwort anmelden können?
Einstellungen an der GPO(Computerkonfiguration):
1.Administrative Vorlagen > Windows Komponenten > Hello for Business > Biometrie verwenden (Registry based Preference)
2.Administrative Vorlagen > Windows Komponenten > Biometrie > Verwendung der Biometrie zulassen
3.Administrative Vorlagen > Windows Komponenten > Biometrie > Benutzeranmeldung mithilfe der Biometrie zulassen
4.Administrative Vorlagen > Windows Komponenten > Biometrie > DWindoomänenbenutzeranmeldung mithilfe von Biometrie zulassen
5.Administrative Vorlagen > System > Anmeldung > Komfortabe Pin-Anmeldung aktivieren
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 565561
Url: https://administrator.de/forum/windows-hello-for-business-nach-aktivierung-wieder-deaktivieren-565561.html
Ausgedruckt am: 13.05.2025 um 00:05 Uhr
4 Kommentare
Neuester Kommentar
Hi,
Das sind GPO-Grundlagen...
Du darfst die GPOs nicht entziehen, du musst sie explizit deaktivieren bzw. auf deaktiviert setzen.
Nur "nicht konfiguriert" tut's nicht.
LG
tomolpi
Das sind GPO-Grundlagen...
Du darfst die GPOs nicht entziehen, du musst sie explizit deaktivieren bzw. auf deaktiviert setzen.
Nur "nicht konfiguriert" tut's nicht.
LG
tomolpi
Hallo tomolpi,
erstmal vielen Dank für deine Antwort.
Ich beschäftige mich zum ersten mal mit GPO´s also bitte verzeihe mir meine Unwissenheit.
Da die Funktionen standardmäßig deaktiviert sind, dachte ich, das würde so ausreichen.
Du meinst, man müsste eine weitere GPO erstellen, die dies explizit wieder deaktiviert?
erstmal vielen Dank für deine Antwort.
Ich beschäftige mich zum ersten mal mit GPO´s also bitte verzeihe mir meine Unwissenheit.
Da die Funktionen standardmäßig deaktiviert sind, dachte ich, das würde so ausreichen.
Du meinst, man müsste eine weitere GPO erstellen, die dies explizit wieder deaktiviert?
Hi,
Du kannst auch die jetzige nehmen, aber du darfst sie nicht bloß auf "nicht konfiguriert" stellen, sonder auf "deaktiviert". Das gilt natürlich für alle Einstellungen, die du gemacht hast.
"Nicht konfiguriert" lässt nämlich alles so, wie es ist, die Änderungen passieren erst bei der De/Aktivierung.
Grüße
tomolpi
Du kannst auch die jetzige nehmen, aber du darfst sie nicht bloß auf "nicht konfiguriert" stellen, sonder auf "deaktiviert". Das gilt natürlich für alle Einstellungen, die du gemacht hast.
"Nicht konfiguriert" lässt nämlich alles so, wie es ist, die Änderungen passieren erst bei der De/Aktivierung.
Grüße
tomolpi
Hi,
ich habe nun ein weiteres GPO erstellt und dort die oben genannten Einstellungen auf "deaktiviert" gesetzt.
Leider führt das nicht zu dem gewünschten Erfolg.
Der User, der bereits eine PIN/Fingerabdruck eingerichtet hat, hat weiterhin die Möglichkeit sich damit anzumelden.
Lediglich sind jetzt wieder die Einstellungen unter Anmeldeoptionen ausgegraut und es steht nur noch der "Entfernen"-Button zur Verfügung.
Mein Ziel ist es entweder die PIN/Fingerabdruck Daten automatisch zu löschen oder es zu verbieten sich damit weiterhin anmelden zu können.
Hat jemand dazu eine Idee?
Grüße
xSnapZ
ich habe nun ein weiteres GPO erstellt und dort die oben genannten Einstellungen auf "deaktiviert" gesetzt.
Leider führt das nicht zu dem gewünschten Erfolg.
Der User, der bereits eine PIN/Fingerabdruck eingerichtet hat, hat weiterhin die Möglichkeit sich damit anzumelden.
Lediglich sind jetzt wieder die Einstellungen unter Anmeldeoptionen ausgegraut und es steht nur noch der "Entfernen"-Button zur Verfügung.
Mein Ziel ist es entweder die PIN/Fingerabdruck Daten automatisch zu löschen oder es zu verbieten sich damit weiterhin anmelden zu können.
Hat jemand dazu eine Idee?
Grüße
xSnapZ
