Windows 10 Hello mit dem Small Business Server

Mit Hello in Windows 10 existien eine Reihe von biometrischen Alternativen um sich an einem Windows System zu authentifizieren. Prinzipiell funktioniert Windows Hello auf einem dafür ausgelegten Gerät out-of-the-box. Wird aber das Gerät in einer Domäne (zum Beispiel Windows Server 2012 R2 Active Directory) betrieben, dann muss dort nochmals Hello über GPOs aktiviert werden.

Genau diesen Fall hatte ich kürzlich bei einem Kunden, welcher (nachdem sein Surface Book) in die Domäne aufgenommen wurde, dass Fehlen von Windows Hello bemängelte.

Ausgangssituation

  1. Windows Server 2012R2 (Small Business Essentials) basiertes Active Directory
  2. Windows 10 (1709 Build) Hello fähiges Gerät (Microsoft Surface Book)

Durchgeführte Schritte

Die Planungen für Windows Hello auf der Microsoft Webseite gehen von einem Windows Server 2016 basierten Active Directory aus, was ich aber nicht habe. Daraufhin habe ich mich entschlossen, das Schema des vorhandenen Active Directory von Windows Server 2012R2 auf Windows Server 2016  zu aktualisieren. Die dafür notwendigen Quellen in Form eines Windows Server 2016 ISO können hier herunter geladen werden.

  1. Download Windows Server 2016 ISO
  2. Active Directory Schema Upgrade von Windows Server 2012R2 auf Windows Server 2016
  3. Download der aktuellen Gruppenrichtlinien für Windows 10 Build 1709
  4. Update / Einspielen der Gruppenrichtlinien auf dem Domain Controller (Windows Server 2012R2 mit Windows Server 2016 Schema)
  5. Konfiguration der GPO

Die Schritte im Detail

Schema Upgrade (Schritt 2)

Wenn alle Bedingungen für das Schema Upgrade erfüllt sind, reicht es auf dem DC (und wir haben nur einen) die folgenden beiden Befehle aus zu führen. Dazu habe ich davor von dem Windows Server 2016 ISO den Ordner support/adprep mit Inhalt nach C:\Temp kopiert.

c:\temp\support\adprep\adprep.exe /forestprep
c:\temp\support\adprep\adprep.exe /domainprep

Einspielen der GPOs für Windows 10 Build 1709 (Schritt 4)

Nachdem ich die GPOs heruntergeladen habe, installiere ich diese und kopiere sie mit dem folgenden Befehl in den SysVol Ordner auf dem DC.

Da der DC in englischer Sprache betrieben wird, kommen noch die entsprechenden Pakete hier dazu (2te Zeile).

c:\temp> xcopy "\Program Files (x86)\Microsoft Group Policy\Windows 10 Fall Creators Update (1709)\PolicyDefinitions\*" "%LOGONSERVER%\SysVol\%USERDNSDOMAIN%\Policies\PolicyDefinitions\"
c:\temp> xcopy "\Program Files (x86)\Microsoft Group Policy\Windows 10 Fall Creators Update (1709)\PolicyDefinitions\en-US\*" "%LOGONSERVER%\SysVol\%USERDNSDOMAIN%\Policies\PolicyDefinitions\en-US\"

Damit kennt nun auch der Windows Server 2012R2 die Richtlinien von Windows 10 Build 1709 und wir können Hello konfigurieren.

Konfiguration von Hello über eine GPO (Schritt 5)

Als erstes habe ich eine GPO mit dem Namen “_ Windows Hello for Business erstellt” und in dieser die folgenden Einstellungen gemacht.

image

Die GPO wurde im Root der Domäne verlinkt. Damit die GPO auch von den PCs gelesen werden kann, habe ich die Domain Computers noch hinzugefügt.

image

Nach dem nächsten GPO refresh hatten alle Geräte die Policy bekommen und ermöglichten die anschließende Konfiguration von Hello (Gesicht oder Finger).

Enjoy it, b!

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s