Если при входе в Windows вы получаете ошибку “Этот метод входа запрещено использовать”, значит результирующие настройки групповых политик на компьютере запрещают локальный вход под этим пользователем. Чаще всего такая ошибка появляется, если вы пытаетесь войти под гостевой учетной записью на обычный компьютер, или под пользователем без прав администратора домена на контроллер домена. Но бывают и другие нюансы.
The sign-in method you're trying to use isn't allowed. For more info, contact your network administrator.
Список пользователей и групп, которым разрешен интерактивный локальный вход на компьютер задается через групповую политику.
- Откройте редактор локальной групповой политики (
gpedit.msc
); - Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment;
- Найдите в списке политику Allow log on locally (Локальный вход в систему);
- В этой политике содержится список групп, которым разрешен локальный вход на этот компьютер;
В зависимости от операционной системы и роли компьютера список групп, которым разрешен локальный вход может отличаться.Например, на рабочих станциях с Windows 10 и рядовых серверах на Windows Server 2022,2019,2016 локальный вход разрешен для следующих групп:
- Administrators
- Backup Operators
- Users
На серверах Windows Server с ролью контроллера домена Active Directory интерактивный вход разрешен для таких локальных и доменных групп:
- Account Operators
- Administrators
- Backup Operators
- Print Operators
- Server Operators
- Вы можете разрешить другим пользователям или группам локальный вход в систему. Для этого можно нажать кнопку Add User or Group, и найти нужных пользователей. Также вы можете, например, запретить пользователям без прав администратора вход на это устройство. Для этого просто удалите группу Users из настроек данной политики;
- После внесения изменения изменений нужно обновить настройки локальных политик командой
gpupdate /force
(перезагрузка не понадобится).
Также обратите внимание, что в этой же секции GPO есть еще одна политика, позволяющая принудительно запретить локальный интерактивной вход на консоль Windows. Политика называется Deny log on locally (Запретить локальных вход). В моем случае на компьютер запрещен анонимный локальный вход под учетной записью Гостя.
Вы можете запретить определенной группе (или пользователю) локальный вход на компьютер, добавив группу в эту политику. Т.к. запрещающая политика Deny log on locally имеет более высокий приоритет, чем разрешающая (Allow log on locally), пользователи не смогут зайти на этот компьютер с ошибкой:
Этот метод входа запрещено использовать
Одной из best practice по обеспечению безопасности аккаунтов администраторов в домене Windows является принудительный запрет на локальных вход на рабочие станции и рядовые сервера под администраторами домена. Для этого нужно распространить политику Deny log on locally с группой Domain Admins на все OU, кроме Domain Controllers. Аналогично нужно запретить вход под локальными учетными записями.
В доменной среде на компьютер может действовать несколько GPO. Поэтому, чтобы узнать примененные политики, назначающих права на локальный вход, нужно проверить результирующие настройки политик. Для получения результирующих настроек GPO на компьютере можно использовать консоль
rsop.msc
или утилиту gpresult.
Обратите внимание, что пользователи могут использовать интерактивные RDP сессии для подключения к устройству с Windows (если на нем включен RDP вход) несмотря на запрет локального входа. Список пользователей, которым разрешен вход по RDP задается в этом же разделе GPO с помощью параметра Allow logon through Remote Desktop Services.
Еще одной из причин, из-за которой вы можете встретить ошибку “
The sign-in method you are trying to use isn’t allowed
”, если в атрибуте LogonWorkstations у пользователя в AD задан список компьютеров, на которые ему разрешено входить (подробно описано в статье по ссылке). С помощью PowerShell командлета Get-ADUser вы можете вывести список компьютеров, на которых разрешено логиниться пользователю (по умолчанию список должен быть пустым):
(Get-ADUser kbuldogov -Properties LogonWorkstations).LogonWorkstations
В некоторых случаях (как правило в филиалах) вы можете разрешить определенному пользователю локальный и/или RDP вход на контроллер домена/локальный сервер. Вам достаточно добавить учетную запись пользователя в локальную политику Allow log on locally на сервере. В любом случае это будет лучше, чем добавлять пользователя в группу локальных администраторов. Хотя в целях безопасности еще лучше использовать RODC контроллер домена.
Также вы можете предоставить права на локальный вход с помощью утилиты ntrights (утилита входила в какую-то древнюю версию Admin Pack). Например, чтобы разрешить локальный вход, выполните команду:
ntrights +r SeInteractiveLogonRight -u "GroupName"
Чтобы запретить вход:
ntrights -r SeInteractiveLogonRight -u "UserName"
Ошибка «Метод входа, который вы пытаетесь использовать, недопустим. Для получения дополнительной информации обратитесь к своему сетевому администратору «, обычно появляется при попытке войти в систему с помощью «Гостевая» учетная запись на ПК с Windows 10 или на Контроллере домена с любым пользователем, отличным от домена. Администратор. Ошибка появляется, потому что по умолчанию вы не можете войти в систему локально с любым пользователем, у которого нет прав администратора на контроллере домена или на ПК с Windows 10.
Это руководство содержит инструкции по обходу ошибки «Метод входа, который вы пытаетесь использовать, не разрешен» в Windows 10 или Server 2016/2012.
Как исправить: метод входа в систему не разрешен в Windows 10 и Server 2016/2012.
Чтобы устранить ошибку «Метод входа, который вы пытаетесь использовать, не разрешен», следуйте приведенным ниже инструкциям в зависимости от вашего случая. у вас есть следующие возможности:
Дело 1. Как разрешить пользователю входить в систему локально на автономном сервере.
Если вы хотите войти локально, с любым другим пользователем, кроме администратора, на автономный сервер 2016/2012/2008 или на компьютере, который часть домена, продолжите и измените групповую политику по умолчанию, чтобы разрешить вход обычным пользователям, следуя инструкциям ниже:
1. Войдите на Сервер (или на компьютер домена), как Администратор.
2. Открыть Редактор локальной групповой политики. Для этого:
1. Одновременно нажмите кнопку Окна
+ р ключи, чтобы открыть окно команды запуска.
2. Тип gpedit.msc и нажмите Входить.
2. В редакторе групповой политики перейдите к: Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Назначение прав пользователя
3. На правой панели: дважды щелкните по Разрешить локальный вход
3. В окне «Разрешить локальный вход в систему» нажмите Добавить пользователя или группу. *
* Примечание: По умолчанию на автономном сервере следующие группы имеют разрешение на локальный вход:
- Администраторы
- Операторы резервного копирования
- Пользователи
Итак, если вы хотите предоставить разрешение на локальный вход только определенным пользователям, удалите отсюда группу «Пользователи».
4. Введите имя пользователя, с которым вы хотите войти локально, и нажмите В ПОРЯДКЕ дважды, чтобы закрыть все окна.
5. Затем откройте Запретить вход локально политика и убедитесь, что оно пустое.
6. Закрывать редактор локальной групповой политики.
7. Начать сначала сервер или запустите gpupdate / force команда для применения новых настроек групповой политики (без перезапуска).
Случай 2. Как разрешить пользователю домена входить в систему локально на контроллере домена (Server 2016).
Чтобы пользователь домена мог войти в систему локально с консоли контроллера домена, он должен принадлежать к одной из следующих групп:
- Операторы счетов
- Администраторы
- Операторы резервного копирования
- Операторы печати
- Операторы сервера
Итак, если вы хотите предоставить учетной записи пользователя возможность локального входа в систему на контроллере домена, вы должны сделать этого пользователя членом одной из указанных выше групп. *
* Примечание: Чтобы избежать угроз безопасности, не добавляйте пользователя в группу администраторов. и предпочитаю добавлять пользователя в «Операторы резервного копирования».
Вот и все! Сообщите мне, помогло ли вам это руководство, оставив свой комментарий о своем опыте. Пожалуйста, поставьте лайк и поделитесь этим руководством, чтобы помочь другим.
The error «The Sign-in method you’re trying to use isn’t allowed. For more info, contact your network administrator», commonly appears when you try to log on using the «Guest» account to a Windows 10 PC, or to a Domain Controller with any other user than then Domain Administrator. The error appears, because by default you cannot sign in locally with any user that hasn’t administrator permissions on a Domain Controller or to a Windows 10 PC .
This tutorial contains instructions to bypass the error «The Sign-in method you’re trying to use isn’t allowed» on Windows 10 or Server 2016/2012.
How to FIX: Sign-In Method is not Allowed on Windows 10 & Server 2016/2012.
To solve the error «The Sign-in method you’re trying to use isn’t allowed», follow the instructions below, according your case. you have the following options:
-
Case 1. Allow User to Log on locally on Windows 10 or to a Standalone Server.
-
Case 2. Allow Domain User to Log on locally on a Domain Controller.
Case 1. How to Allow a User to Log on locally on a Standalone Server.
If you want to sign in locally, with any other user than Administrator, to a Standalone Server 2016/2012/2008, or on a computer which part of a Domain, proceed and modify the default Group Policy to allow the Sign-in to standard users, by following the instructions below:
1. Login to the Server (or the domain computer), as Administrator.
2. Open the Local Group Policy Editor. To do that:
1. Simultaneously press the Windows
+ R keys to open run command box.
2. Type gpedit.msc and press Enter.
+ R keys to open run command box.
2. In Group Policy Editor navigate to: Computer Configuration > Windows Settings> Security Settings > Local Policies > User Rights Assignment
3. At the right Pane: double click at Allow log on locally
3. At ‘Allow log on locally Properties’ window, click Add User or Group. *
* Note: By default on a standalone server the following groups has permission to log on locally:
- Administrators
- Backup Operators
- Users
So, if you want to give the permission only to specific user(s) to logon locally, remove the «Users» group from here.
4. Type the name of the user that you want to log on locally and click OK twice to close all windows.
5. Then open the Deny log on locally policy and make sure is empty.
6. Close the Local Group Policy Editor.
7. Restart the server, or run the gpupdate /force command to apply the new group policy settings (without restart).
Case 2. How to Allow a Domain User to Log on locally on a Domain Controller (Server 2016).
In order a domain user to logon locally from the domain controller console, the user must belong to one of the following groups:
- Account Operators
- Administrators
- Backup Operators
- Print Operators
- Server Operators
So, if you want to grant a user account the ability to log on locally to a domain controller, you must make that user a member of one of the above groups. *
* Note: To avoid security risks, do not add the user to Administrators group. and prefer to add the user to ‘Backup Operators’.
That’s it! Let me know if this guide has helped you by leaving your comment about your experience. Please like and share this guide to help others.
If this article was useful for you, please consider supporting us by making a donation. Even $1 can a make a huge difference for us in our effort to continue to help others while keeping this site free:
If you want to stay constantly protected from malware threats, existing and future ones, we recommend that you install Malwarebytes Anti-Malware PRO by clicking below (we
do earn a commision from sales generated from this link, but at no additional cost to you. We have experience with this software and we recommend it because it is helpful and useful):
Full household PC Protection — Protect up to 3 PCs with NEW Malwarebytes Anti-Malware Premium!
- Remove From My Forums
-
Question
-
I have a DC build on a Windows Server 2012 Standard.
All the windows 7 clients are ok, but when I tried to log in the domain with a windows8 pro machine i get
the folowing message, the sign-in method you’re trying to use isn’t allowed .
I tried to add on user rights assignment/Allow log in locally, the Users group, i think that here is the
problem, maybe,…but the option is greyed out.
Please an advice, is from here or other way?
Thank you!
Answers
-
Resolved, I modified Network acces permission, from Control acces through NPS
network policy to Allow acces
Mention that win7 clients works with default Control acces through NPS network policy-
Marked as answer by
Monday, January 14, 2013 5:33 AM
-
Marked as answer by
September 12, 2016 updated by
Leave a reply »
“I am unable to login with any account even local administrator, while login it shows ‘The sign-in method you are trying to use isn’t allowed. For more info, contact your network administrator‘. Please help me out on this problem.”
If your account is not granted the permission to log on locally, you’ll get such an error message at login. To fix this problem, we need to tweak the local security policy, or domain controller policy if you’re facing the same login issue with a domain user.
For Standardalone Computer:
- Press the Windows key + R and type secpol.msc in the Run box. Press Enter to open the Local Security Policy window.
- Expand to Security Settings > Local Policies > User Rights Assignment. In the right pane, locate the policy named Deny log on locally. Double-click on it to modify.
- Check if your problematic user account or the user groups it belongs to is listed there. If it is there, select it and click on Remove.
- When it’s done, click Apply and then OK. Reboot your computer and you should be allowed to log on to your account locally.
For Domain Controller:
There is also a corresponding security policy existing in domain controller that can cause the problem “The sign-in method you are trying to use isn’t allowed. For more info”. Follow these steps to fix it:
- To get started, open the Group Policy Management. In Windows Server 2008, you can click Start, then select All Programs > Administrative Tools > Group Policy Management.
- On the left hand side of Group Policy Management, expand Forest > Domains > your domain name, and then click Group Policy Objects. In the right-hand window, double-click on Default Domain Controllers Policy and select Edit.
- This will open the Group Policy Management Editor window. Navigate to:
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignments
In the right pane, double-click on Deny log on locally.
- Check if your problematic domain account or the domain groups it belongs to is listed there. If it is there, select it and click on Remove.
- Click Apply and OK to save your changes. Reboot your computer and you can then login without permission issues.
- Previous Post: 4 Ways to Reset Domain Admin Password on Windows Server 2008
- Next Post: 2 Options to Remove Network Icon from Windows 10 / 8 Login Screen