一、问题现象
Windows 10客户端更新2016年8月3日的周年更新后,版本更新到了1607,加入域后(AD版本为Windows Server 2012 R2)Windows Hello设置为灰色,无法设置,提示“某些设置由你的组织来管理”。
<a href="http://s3.51cto.com/wyfs02/M00/86/A7/wKioL1fGl-CyiSNgAANFyYp9cis528.png" target="_blank"></a>
二、问题原因
由于Windows Server 2012 R2组策略中没有关于PIN登录的设置,Windows 10升级到1607版本后Windows 2012 R2默认是禁用PIN登录的。如果要启用Windows Hello功能,只需要通过组策略开启“Turn on convenience PIN sign-in”即可,而该项设置Turn on convenience PIN sign-in在默认的系统设置中无法找到,只能下载最新是WIndows 10/Server 2016管理模板中才能找到。
通过微软提供的Windows 10组策略模板说明中找到,启用Turn on convenience PIN sign-in只需要复制CredentialProviders.admx模板即可。
<a href="http://s3.51cto.com/wyfs02/M00/86/A7/wKioL1fGmK2xBYJLAAJL3aburzg290.png" target="_blank"></a>
三、解决方法
解决这个方法分为两种情况:
情况一:
1)、组策略模板未启用从中央存储检索策略(即使用组策略模板保留在域控本地不复制到其他域控)
A、将下载下来的ADMX文件(MSI格式)解压到本地磁盘。
<a href="http://s3.51cto.com/wyfs02/M02/86/A8/wKiom1fGmK7wm3MXAABESPANufo946.png" target="_blank"></a>
B、将解压后的文件"C:\Program Files (x86)\Microsoft Group Policy\Windows 10 and Windows Server 2016\PolicyDefinitions\CredentialProviders.admx"拷贝到AD域控的目录:C:\Windows\PolicyDefinitions 下
<a href="http://s3.51cto.com/wyfs02/M01/86/A7/wKioL1fGmK-R80IvAAEJQjB9H0o549.png" target="_blank"></a>
C、将模板语言文件"C:\Program Files (x86)\Microsoft Group Policy\Windows 10 and Windows Server 2016\PolicyDefinitions\en-US\CredentialProviders.adml"复制到域控目录:C:\Windows\PolicyDefinitions\zh-CN和C:\Windows\PolicyDefinitions\en-US下。
<a href="http://s3.51cto.com/wyfs02/M00/86/A8/wKiom1fGmLCzxAIlAADFWOadr3o277.png" target="_blank"></a>
D、设置组策略开启Turn on convenience PIN sign-in。组策略设置完成后使用命令:gpupdate /force强制刷新以下组策略。
<a href="http://s3.51cto.com/wyfs02/M00/86/A8/wKiom1fGmLKjuWegAAOQ1efn27w783.png" target="_blank"></a>
情况二:
2)、组策略模板启用从中央存储检索策略。
<a href="http://s3.51cto.com/wyfs02/M02/86/A7/wKioL1fGmLOTwiTaAABIeIKAt_s122.png" target="_blank"></a>
B、将解压后的文件"C:\Program Files (x86)\Microsoft Group Policy\Windows 10 and Windows Server 2016\PolicyDefinitions\CredentialProviders.admx"拷贝到AD域控的目录:C:\Windows\SYSVOL\sysvol\contoso.com\Policies\PolicyDefinitions下
<a href="http://s3.51cto.com/wyfs02/M00/86/A7/wKioL1fGmLSTvYPMAAD9lF0opy0546.png" target="_blank"></a>
C、将模板语言文件"C:\Program Files (x86)\Microsoft Group Policy\Windows 10 and Windows Server 2016\PolicyDefinitions\en-US\CredentialProviders.adml"复制到域控目录:C:\Windows\SYSVOL\sysvol\contoso.com\Policies\PolicyDefinitions\en-US和C:\Windows\SYSVOL\sysvol\contoso.com\Policies\PolicyDefinitions\zh-CN下。
<a href="http://s3.51cto.com/wyfs02/M02/86/A8/wKiom1fGmLSR0SRgAABpleKhT44510.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M00/86/A8/wKiom1fGmLWgV36bAAD0dbZGypM279.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M02/86/A7/wKioL1fGmLeyfAt8AAOQ1efn27w634.png" target="_blank"></a>
本文转自 jialt 51CTO博客,原文链接:http://blog.51cto.com/jialt/1844828