Метод входа в систему не разрешен для входа в Windows

at0mSec

Если вы видите The sign-in method is not allowed ошибку при попытке входа в Windows, это означает, что полученные параметры групповой политики не позволяют выполнить локальный вход для текущей учетной записи пользователя. Чаще всего ошибка появляется, если вы пытаетесь войти на компьютер с помощью гостевой учетной записи или на контроллер домена с помощью учетной записи пользователя без привилегий администратора домена. Однако могут быть и другие причины.

The sign-in method you're trying to use isn't allowed. For more info, contact your network administrator.

Окна не могут войти в систему - Метод входа в систему, который вы пытаетесь использовать, не разрешен

Список пользователей и групп, которым разрешен интерактивный вход на компьютер, настраивается с помощью GPO.

  1. Откройте редактор локальной групповой политики (gpedit.msc);
  2. Перейти к Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователей;
  3. Найти Разрешить вход в систему локально в списке политик;
  4. Политика содержит список групп и пользователей, которым разрешен локальный вход на компьютер. Параметр GPO
    В зависимости от операционной системы и роли компьютера список групп, которым разрешено входить в систему локально, может отличаться. Например, локальный вход разрешен для следующих групп пользователей на рабочих станциях под управлением Windows 10 и серверах под управлением Windows Server 2022,2019,2016:

    • Администраторы
    • Операторы резервного копирования
    • Пользователи

    На серверах под управлением Windows Server с ролью контроллера домена Active Directory (ADDS) интерактивный вход разрешен для следующих групп:

    • Операторы учетных записей
    • Администраторы
    • Операторы резервного копирования
    • Операторы печати
    • Операторы сервера
  5. Вы можете разрешить локальный вход для других пользователей или групп. Для этого нажмите кнопку Добавить пользователя или группу и выберите пользователей, которых вы хотите добавить. Например, вы запрещаете пользователям, не являющимся администраторами, входить на устройство. Для этого просто удалите флажок Пользователи группу из настроек политики;
  6. После внесения изменений обновите параметры групповой политики с помощью команды gpupdate /force (перезагрузка не требуется).

Также обратите внимание, что в том же разделе GPO есть еще одна политика для предотвращения локального интерактивного входа в Windows. Эта политика называется Запретить локальный вход в систему. В моем случае анонимный локальный вход под учетной записью Guest запрещен на компьютере.

Запрет входа в систему локально с помощью GPO

Вы можете запретить определенной группе (или пользователю) локально входить на компьютер, добавив их в эту политику. С Запретить вход в систему локально политика имеет более высокий приоритет, чем Разрешить вход в систему локально, пользователи не смогут войти на компьютер со следующей ошибкой:

The sign-in method isn’t allowed.
Одним из лучших способов защиты учетных записей привилегированных администраторов в домене Windows является запрет локального входа на рабочие станции и серверы под учетными записями администраторов домена. Для этого назначьте Запретить локальный вход политика для группы Domain Admins для всех OU, кроме контроллеров домена. Аналогичным образом нужно запретить вход под локальными учетными записями.

В доменной среде компьютеру может быть назначено несколько GPO. Поэтому, чтобы получить политики, разрешающие локальный вход, нужно проверить параметры результирующей политики. Для этого можно использовать rsop.msc консоль или инструмент gpresult, чтобы получить результирующие параметры GPO на вашем компьютере.

Обратите внимание, что пользователи могут использовать интерактивные сеансы RDP для подключения к устройству Windows (если RDP включен на этом устройстве), несмотря на то, что им запрещен локальный вход. Список пользователей, которым разрешено входить в систему через Remote Desktop, задается в том же разделе GPO с помощью параметра Разрешить вход через службы удаленных рабочих столов опция.

Еще одна причина, по которой вы можете увидеть «The sign-in method you are trying to use isn’t allowed» ошибка возникает, когда список компьютеров, на которых пользователю разрешено входить в систему, ограничен в LogonWorkstations атрибут пользователя в AD (подробнее здесь). Использование команды Get-ADUser PowerShell, можно отобразить список компьютеров, на которых пользователю разрешено входить в систему (по умолчанию список пуст):

(Get-ADUser maxbak -Properties LogonWorkstations).LogonWorkstations

В некоторых случаях вы можете разрешить пользователю входить на контроллер домена/хосты Windows Server по RDP или локально. Для этого достаточно добавить учетную запись пользователя в локальную политику Разрешить вход в систему локально на вашем сервере. В любом случае, это будет лучше, чем добавление пользователя в группу Local Administrators. Однако по соображениям безопасности лучше использовать контроллер домена RODC.

Вы также можете разрешить локальный вход в систему, используя ntrights (этот инструмент был включен в некоторые старые версии Admin Pack). Например, чтобы разрешить локальный вход для доменной группы, выполните следующую команду:

ntrights +r SeInteractiveLogonRight -u "GroupName"

Чтобы запретить локальный вход:

ntrights -r SeInteractiveLogonRight -u "UserName"

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *