none
win10 v1803电脑加入windows server 2016的域控后,无法配置指纹登录,设置相关组策略一样 RRS feed

  • 问题

  • 请问下,电脑加入域控后,就无法配置win10windows hello功能,无法使用指纹登陆系统。请帮忙看下是否能帮忙解决下。域控:winser 2k16PCwin10 v1803

    我已经做了以下工作:

    1、 确认加域电脑的本地账户是可以启用windwos hello功能,切成域账号后对应的设置按钮置灰无法进行配置;

    2、 配置组策略,并gpupdate到本地,结果:策略不能生效;

    3、 检查组策略结果,发现报错: AD / SYSVOL 版本不匹配,更新最新版本的组策略管理模板,消除上述报错,但依然未能生效;

    4、 通过gpresult工具确认策略生效,但检查本地组策略未能找到生效的配置(即打开客户端本地组策略,在windows hello for 企业版都显示未配置);

    5、 检查日志但依然未发现相关报错。

    是win10 v1803入域就无法正常使用windows hello功能,还是说需要更新什么补丁吗?

    https://support.microsoft.com/en-us/help/3201940/can-t-configure-a-pin-when-convenience-pin-and-hello-for-business-poli

    上面链接可以做参考吗? 麻烦帮忙解答下,谢谢!以下是截图:

    如下图所示(域账号下注册表相关键值已经生效、策略结果集中也显示启用,但是登录选项中依然无法配置):


    • 已编辑 JiefengYu 2019年2月1日 6:51 补充说明
    2019年2月1日 6:50

答案

  • 你好 Yu,

    很抱歉我的实验环境是虚拟环境,不支持这一设置,可能无法帮助进行测试。

    我找到了以下资料:

    对于加入域的计算机,Windows Hello的管理方式不同,从周年更新开始。要使其工作,您必须按照以下步骤操作:

    1)设置组策略中央存储(您应该已经拥有)

    2)获取Windows 10周年更新组策略模板。您可以通过将文件从PolicyDefinitions(在Win10周年纪念更新计算机上的windir中)复制到中央存储的PolicyDefinitions中来实现。您可以将这些文件首先复制到文件共享,因为您的常规用户不应该在中央存储上拥有该权限。

    3)设置新GPO或添加到现有的以下设置以启用Windows Hello:

    计算机配置/策略/管理模板
    ... / Windows组件/ Windows Hello for Business / 使用生物识别技术 =>已启用

    ... / Windows组件/ Windows Hello for Business / 使用硬件安全设备 =>已启用(如果要使用TPM而不是基于密钥或基于证书的Windows Hello激活)。请注意,通常所有商业计算机都应具有TPM

    ... /系统/登录/ 打开便利性PIN登录 =>已启用(这是密钥。这将启用PIN登录,这将启用Hello以及其他设置。)

    ... / Windows组件/生物识别/ 允许域用户使用biometrics =>启用(我认为这是默认启用的,但显式使GP管理更容易。)

    您将在System / Logon和Windows组件/生物识别以及Windows组件/ Windows Hello for Business中找到更多可选配置可能性。

    ttps://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

    https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

    从版本1607开始,默认情况下,在所有加入域的计算机上禁用Windows Hello作为便利PIN。要为Windows 10版本1607启用便捷PIN,请启用组策略设置启用便捷PIN登录。使用Windows Hello for Business策略设置来管理Windows Hello for Business的PIN。

    最好的祝福,

    Lee



    Just do it.

    • 已标记为答案 JiefengYu 2019年2月20日 3:52
    2019年2月15日 8:23
    版主

全部回复

  • 你好,

    谢谢你的问题。

    你可以参考你提供的链接的修复尝试修复你的问题。

    此外,你还可以尝试论坛中出现的同样问题的方法进行修复, 请尝试阅读以下链接。

    https://social.technet.microsoft.com/Forums/en-US/15d0a491-feed-49fe-811d-8d8248bf9e15/pin-and-fingerprint-signin-options-unavailable-greyed-out-in-windows-10-1709-enterprise?forum=win10itprogeneral

    检查是否因为本地组策略阻止了域账户的使用,

    本地计算机策略
    \计算机配置
     \管理模板
      \ Windows组件
       \ Windows业务
         使用Hello 生物识别 - >从启用更改 为未配置
         使用Windows Hello for Business   - >从启用更改为未配置

    Best Regards,

    Lee


    Just do it.

    2019年2月4日 4:40
    版主
  • hi,Lee

        新年好!客户端本地组策略中并没有配置相关策略。我这边搭建新的测试环境,也是一样无法在入域笔记本上进行windows hello的启用。

    2019年2月11日 5:41
  • Hi Yu,

    新年快乐。

    请问你的GPO是否正确应用到相应计算机对象所在的容器之中。 此外,你最新加域的计算机Windows10的版本是什么?

    最好的祝福,

    Lee


    Just do it.

    2019年2月11日 7:09
    版主
  • hi,Lee

    GPO的配置肯定是正确的,也到客户端去rosp.msc看到应用生效的结果了。本地组策略去看,对应的配置都是显示未配置。(一般组策略配置了,本地组策略应该是灰色显示,但我实际环境中本地组策略还可以配置)。我的客户端是win10 v1803 专业版。起码想跟您确认下win10 1803的版本应该还是支持入域后的windows hello的把?我搭的环境都不行。。。


    https://social.technet.microsoft.com/Forums/getfile/1401547
    • 已编辑 JiefengYu 2019年2月12日 1:56 补充图片
    2019年2月12日 1:51
  • hi,Lee

    能否帮忙在测试环境中一起测试下,谢谢!

    2019年2月15日 5:43
  • 你好 Yu,

    很抱歉我的实验环境是虚拟环境,不支持这一设置,可能无法帮助进行测试。

    我找到了以下资料:

    对于加入域的计算机,Windows Hello的管理方式不同,从周年更新开始。要使其工作,您必须按照以下步骤操作:

    1)设置组策略中央存储(您应该已经拥有)

    2)获取Windows 10周年更新组策略模板。您可以通过将文件从PolicyDefinitions(在Win10周年纪念更新计算机上的windir中)复制到中央存储的PolicyDefinitions中来实现。您可以将这些文件首先复制到文件共享,因为您的常规用户不应该在中央存储上拥有该权限。

    3)设置新GPO或添加到现有的以下设置以启用Windows Hello:

    计算机配置/策略/管理模板
    ... / Windows组件/ Windows Hello for Business / 使用生物识别技术 =>已启用

    ... / Windows组件/ Windows Hello for Business / 使用硬件安全设备 =>已启用(如果要使用TPM而不是基于密钥或基于证书的Windows Hello激活)。请注意,通常所有商业计算机都应具有TPM

    ... /系统/登录/ 打开便利性PIN登录 =>已启用(这是密钥。这将启用PIN登录,这将启用Hello以及其他设置。)

    ... / Windows组件/生物识别/ 允许域用户使用biometrics =>启用(我认为这是默认启用的,但显式使GP管理更容易。)

    您将在System / Logon和Windows组件/生物识别以及Windows组件/ Windows Hello for Business中找到更多可选配置可能性。

    ttps://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

    https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

    从版本1607开始,默认情况下,在所有加入域的计算机上禁用Windows Hello作为便利PIN。要为Windows 10版本1607启用便捷PIN,请启用组策略设置启用便捷PIN登录。使用Windows Hello for Business策略设置来管理Windows Hello for Business的PIN。

    最好的祝福,

    Lee



    Just do it.

    • 已标记为答案 JiefengYu 2019年2月20日 3:52
    2019年2月15日 8:23
    版主
  • hi,Lee

    这个我这边已经尝试过了,现在已经没有头绪了,所以才想通过我们的论坛平台寻找解决问题的办法。

    2019年2月19日 8:15
  • Hi,

    鉴于当前case的复杂度,建议你向微软寻求更高级的咨询服务,以便您可以得到更快速的回应。

    https://support.microsoft.com/zh-cn/gp/support-options-for-business

    感谢您的理解与支持,祝您工作顺利!

    最好的祝福,

    Lee


    Just do it.

    2019年2月19日 8:46
    版主
  • 好的,非常感谢!
    2019年2月20日 3:52