16

Я сделал чистую установку Windows 10 Anniversary Edition. Теперь я не могу включить Windows Hello с моим доменом, подключенным к Surface Pro 4, вошедшим в систему как пользователь AD. Когда я вхожу в свою учетную запись Msft, я могу включить Windows Hello.

Я пытался "Некоторые настройки управляются вашей организацией", а не на домене? (увеличение телеметрии через приложение настроек), а также это: сброс телеметрии через gp.

Это показывает, что эта проблема отличается от других здесь. Это также на самом деле присоединение к домену, а не как большинство других вопросов здесь.

Вот как выглядят настройки;

В старой версии Windows 10 на том же устройстве можно было включить Windows Hello, когда домен присоединился к пользователю домена. Вот почему я исключаю GPO как источник проблемы. GPO даже явно разрешает использование биометрии для пользователей домена. Что я могу сделать?

Windows 10 Professional, Cortana включена. Нет инсайдеров издание. У меня есть административный доступ к домену.

|источник

6 ответов6

20

Я нашел решение. Причина в том, что Windows Hello управляется по-разному на компьютерах, присоединяющихся к домену, начиная с ежегодного обновления. Чтобы заставить его работать, вы должны выполнить следующие действия:

1) Настройте центральное хранилище групповой политики (оно уже должно быть)

2) Получите шаблоны групповой политики Windows 10 Anniversary Update. Вы можете сделать это, скопировав свои файлы из PolicyDefinitions (в windir на компьютере с юбилейным обновлением Win10) в PolicyDefinitions центрального хранилища. Вы можете сначала скопировать эти файлы в общую папку, так как у вашего обычного пользователя нет прав доступа к центральному хранилищу.

3) Настройте новый объект групповой политики или добавьте к существующим следующие параметры, чтобы включить Windows Hello:

  • Конфигурация компьютера / Политики / Административные шаблоны

.../ Компоненты Windows / Windows Hello For Business / Использовать биометрию => Включено

.../ Компоненты Windows / Windows Hello для бизнеса / Использовать аппаратное защитное устройство => Включено (если вы хотите использовать TPM вместо ключа или активации на основе сертификатов для Windows Hello). Обратите внимание, что в целом все бизнес-компьютеры должны иметь TPM

.../ Система / Вход в систему / Включить удобный вход с помощью PIN-кода => Включено (это ключ. Это включает вход с помощью PIN-кода, который, в свою очередь, включит Hello вместе с другими настройками.)

.../ Компоненты Windows / Биометрия / Разрешить пользователям домена входить в систему с помощью биометрии => Включено (я думаю, что это включено по умолчанию, но явное использование делает управление GP намного проще).

Дополнительные параметры конфигурации вы найдете в разделе «Система» /«Вход в систему» и «Компоненты Windows» /«Биометрия и Компоненты Windows» /«Windows Hello для бизнеса».

Более подробную информацию вы найдете здесь:https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607/

и здесь

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Самый важный отрывок:

Начиная с версии 1607, ПИН-код Windows Hello для удобства отключен по умолчанию на всех компьютерах, подключенных к домену. Чтобы включить удобный ПИН-код для Windows 10 версии 1607, включите параметр групповой политики. Включите вход с помощью удобного ПИН-кода. Используйте параметры политики Windows Hello для бизнеса для управления ПИН-кодами для Windows Hello для бизнеса.

Если вы хотите использовать Windows Hello на основе ключей или сертификатов, вы можете следовать инструкциям в ссылках. Не смущайтесь, хотя. Вы все еще можете использовать обычный TPM для обычного Windows Hello.

|источник
5

У меня работает установка следующего ключа реестра:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Ссылка: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- на домен-счета? форум = win10itprosetup

|источник
5

Все, что мне нужно было сделать, это:

  1. Windows KEY + R, чтобы открыть Run
  2. Войти: 
    gpedit.msc
  3. [Политика локального компьютера]> [Конфигурация компьютера]> [Административные шаблоны]> [Система]> [Вход в систему]> [ Включить удобный вход с помощью PIN-кода ]: ВКЛЮЧЕНО

Это позволило Windows Hello на Surface Pro 4 с Windows 10 Pro.

|источник
0

Настройка следующего реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

затем включите UAC и перезагрузите компьютер.

|источник
0

Есть одна вещь, которую вы не должны настраивать, если у вас нет действительных сертификатов (это на сервере 2016).

Убедитесь, что для параметра «Конфигурация компьютера / политики / Temp администратора / Windows Comp / Windows Hello для бизнеса / Использовать Windows Hello для бизнеса» задано значение «НЕ НАСТРОЕНО».

Это была единственная вещь, которую я установил (из другого блога), и она препятствовала работе windows hello, windows hello даже не запускалась. Но пока он не настроен, все должно быть в порядке.

|источник
-2

Я к домену присоединился Dell 7280. Добавление ключа реестра ниже вместе с перезагрузкой позволило мне добавить 6-значный пин-код.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] "AllowDomainPINLogon" = dword:00000001

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .