Windows Hello uitgeschakeld wanneer de pc in een domein zit

      Reacties uitgeschakeld voor Windows Hello uitgeschakeld wanneer de pc in een domein zit

De Windows 10 feature “Windows Hello” zorgt er voor dat je op verschillende manieren kunt aanmelden naast het standaard wachtwoord.
Je kunt de vingerafdruk scanner instellen, PIN code gebruiken of een afbeeldingswachtwoord.
Maar wat nou als je Windows 10 machine in een 2008R2 domein zit en Hello is niet in te stellen ?

Wat is er aan de hand ?

Bij Domain Joined systemen is Windows Hello niet beschikbaar :

Windows hello inschakelen 01Dit komt omdat er binnen het domein geen policy ingeschakeld is voor Windows Hello en derhalve wordt Hello dan ook uitgeschakeld.
Vanaf Windows Server 2016 is het wel mogelijk om specifiek Windows Hello in of uit te schakelen, maar lagere versies kunnen dit niet.
Hoe moet je nu Windows Hello inschakelen op een domein ?

Oplossing !

De oplossing is erg simpel !
Je hebt een register tweakje nodig en deze stop je dan in een GPO.

Meldt je aan op de Domain Controller en start de Group Policy Editor op.
Maak een nieuwe GPO, bijvoorbeeld “Enable Windows Hello”
Edit deze en ga naar Computer Configuration –> Preferences –> Windows Settings –> Registry

Windows hello inschakelen 02Klik met de rechtermuisknop op Registry en maak een nieuwe registry item :

Windows hello inschakelen 03In het volgende scherm neem je dan de volgende gegevens over :

Windows hello inschakelen 04Action : Create
Hive : HKEY_LOCAL_MACHINE
Key Path : SOFTWARE\Policies\Microsoft\Windows\System
Value name : AllowDomainPINLogon
Value type : REG_DWORD
Value data : 1 Decimal

Klik vervolgens op OK.

Wanneer je meerdere GPO’s hebt, is het handig om de User Group Policy loopback processing mode te enablen en op Merge te zetten zodat deze settings samengevoegd worden met andere GPO’s.

Link deze nieuwe GPO vervolgens aan de OU waar de PC’s/Laptops in staan waarop je Windows Hello wilt inschakelen.

Afhankelijk van de update interval duurt het een x aantal minuten voordat de GPO wordt opgepakt door de systemen. Je moet even rebooten of het commando Gpupdate /force op en vervolgens is Windows Hello beschikbaar !

Wanneer je op het Windows 10 systeem regedit start, zul je zien dat de key toegevoegd is :

Windows hello inschakelen 05En als je nu naar Instellingen –> Accounts –> Aanmeldingsopties gaat, zul je zien dat het nu mogelijk is om een vingerafdruk en PIN code toe te voegen.

Windows hello inschakelen 06

Cheers !