Die Gesichtserkennung über Windows Hello for Business (WHfB) mit den Surfaces ist eine geniale Sache. Leider haben wir aber immer noch Ressourcen auf unseren lokalen Servern. Die Dateien zügeln wir gerade aktuell auf Office 365 aber die Schul- und Notenverwaltung Lehreroffice läuft mindestens bis Ende Jahr auch noch auf unseren Servern.

Man könnte einen Server so einrichten, dass WHfB so zurück ins lokale AD synchronisiert wird, dass man sich damit auch an lokalen Servern anmelden kann. Aber ich will ja im Moment weg von den Servern und keine Zeit damit verlieren, weitere Server aufzusetzen oder zu konfigurieren.

Der einfachste Weg ist also, WHfB auf den Geräten der Lehrpersonen zu deaktivieren. Für Lehrpersonen, die jetzt schon die Gesichtserkennung aktiviert haben möchten, habe ich eine Anleitung erstellt, wie man sich über -> Weitere Optionen -> Anderes Konto verwenden -> Benutzername und Passwort trotzdem mit dem Server verbinden kann. Man muss dieses Vorgehen dann halt alle paar Wochen wiederholen. Auf Wunsch aktiviere ich also die Gesichtserkennung für Poweruser, aber für die grosse Mehrheit der Lehrpersonen warten wir damit, bis wir keinen Zugang auf lokale Server mehr benötigen. Lange dauert es ja nicht mehr.

Das Problem ist nun, dass bei Geräten, bei denen nicht schon beim Enrollment WHfB deaktiviert wurde, die Richtlinie zu spät kommt.

Bei der ersten Anmeldung kann man WHfB einrichten und danach nicht mehr deaktivieren, weil die Einstellungen blockiert werden, sobald die Richtline von Intune greift. Man kann aber die einmal eingerichtete Gesichtserkennung und/oder den Pin mit dem Befehl „certutil.exe /deletehellocontainer“ (im Benutzerkontext) löschen. Damit man das nicht manuell machen muss, habe ich das folgende Skript als win32 Programm auf die betroffenen Systeme verteilt:

MD %localappdata%\Temp\WindowsHello
certutil.exe /deletehellocontainer
@echo installed > %localappdata%\Temp\WindowsHello\installed01.txt