Když si Váš klient koupí nový Surface Pro a zařadíte jej do AD domény tak se Vám může stát, že při přihlašování nelze použít jednu z předností HW řešení od Microsoft a to je přihlášení do systému pomocí Windows Hello rozpoznáním tváře.
Jedná se o vcelku běžný problém s těmito novými funkce s biometrickými ověřovacími funkcemi, u kterých je pak v nastavení zobrazeno šedivě spolu ze zprávou *Některá nastavení jsou spravována Vaší organizací*.
Pro řešení doporučuji nasadit poslední verzi Administrative Templates (.admx) for Windows 10 and Windows Server 2016 do svého Central Store pro Global Policy.
V české verzi naleznete nastavení Start – Nástroje pro správu – Správa zásady skupin. Zde ve Vaší doméně v sekci Objekty zásady skupiny si vytvořte nový objekt zásady skupiny s názvem třeba Windows Hello a následně zeditujte jednotlivé paramtery tákající se biometrického nastavení.
Pro správné nastavení Global policy existuje na webu spousta přispěvků, které popisují různá nastavení, ale žádný mi nevyřešil problém úplně. Zde je nastavení Zásad skupin, které jsem úspěšně implementoval v systému Windows 2012 Server R2. Až toto nastavení i povolilo na klientské stanici možnost využití služby Windows Hello.
Je tedy potřeba v sekci Konfigurace počítače \ Zásady \ Šablony pro správu \ Součásti systému Windows \ Biometrika povolit tři položky v sekci Konfigurace počítače \ Zásady \ Šablony pro správu \ Systém \ Přihlášení povolit položku Zapnout přihlášení praktickým PIN kódem .
Povolení přihlášení pomocí PIN kódu je nutné, jelikož, pokud systém uživatele správně nedetekuji tak je po něm vyžadován pro přihlášení PIN kód (nikoli heslo do Active Directory). Důležité je také nechat celou sekci Windows Hello pro firmy ve stavu „Není nakonfigurováno“.