Biometrisk og PIN-innlogging for AD-joinede maskiner
 Tue 2026-04-21    

Siden biometrisk innlogging pushes så hardt for tiden og ingen tenker over hva dette faktisk betyr, så kommer det til stadighet forespørsler fra folk om å få aktivert dette.

For de som har blitt flyttet til Azure og er korrekt (haha) lisensiert er dette ikke et tema da det er en del av OOBE, men for eksisterende maskiner i et lokalt AD-nettverk er det ikke nødvendigvis like rett frem.

Noen av brukerne mine har klart å aktivere dette på egenhånd uten at jeg skjønner hvordan, men whatever. Andre har klart å aktivere ansiktsgjenkjenning uten at det fungerer 100% og så blir de bedt om å legge inn en PIN-kode de aldri har opprettet og alt er bare trist.

Men, det finnes en medisin.

Løsningen:

  1. På pasientmaskinen, kjør `regedit` som admin og naviger til `Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System`
  2. Legg inn en ny DWORD (32-bit)-nøkkel som heter `AllowDomainPINLogon` og gi denne verdi "1".
  3. Reboot.

Hvis alt funker, så funker det, og man kan nå opprette en PIN og aktivere resten av biometri-innloggingsmetodene.

Sjansen for at det funker er dog liten siden det er Windows vi snakker om, og hvis man tidligere ble bedt om å legge inn en PIN, så har man dette problemet fremdeles.

Løsningen på dette er:

  1. Start et administrativt cmd-vindu (ikke Powershell)
  2. Kjør `takeown /f "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc" /r /d y` for å ta eierskap over mappen
  3. Kjør `icacls "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc" /grant Administrators:F /t` for å gi Administrators-gruppen (og alle medlemmer av den) full tilgang og alle rettigheter til mappen
  4. Kjør `rd /s /q "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc"` for å slette hele mappen og alt innhold i den.
  5. Kjør `shutdown -r -f -t 0` for å starte maskinen på nytt med en gang. Klikking på knapper er for zoomers, ekte admins bruker kommandolinjen. Deal with it.

Dette vil tvinge Windows til å glemme og nullstille den gamle PIN-koden for maskinen slik at du kan opprette en ny.

Etter omstart kan du gå tilbake til Settings > Accounts > Sign-in options og aktivere PIN, ansiktsgjenkjenning, fingeravtrykk, etc.