Этот метод входа запрещено использовать windows server 2016

Если при входе в Windows вы получаете ошибку “Этот метод входа запрещено использовать”, значит результирующие настройки групповых политик на компьютере запрещают локальный вход под этим пользователем. Чаще всего такая ошибка появляется, если вы пытаетесь войти под гостевой учетной записью на обычный компьютер, или под пользователем без прав администратора домена на контроллер домена. Но бывают и другие нюансы.

The sign-in method you're trying to use isn't allowed. For more info, contact your network administrator.

Список пользователей и групп, которым разрешен интерактивный локальный вход на компьютер задается через групповую политику.

1. Откройте редактор локальной групповой политики (
   gpedit.msc
   );
2. Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment;
3. Найдите в списке политику Allow log on locally (Локальный вход в систему);
4. В этой политике содержится список групп, которым разрешен локальный вход на этот компьютер;
   

   Картинка с сайта: winitpro.ru

   В зависимости от операционной системы и роли компьютера список групп, которым разрешен локальный вход может отличаться.Например, на рабочих станциях с Windows 10 и рядовых серверах на Windows Server 2022,2019,2016 локальный вход разрешен для следующих групп:

   • Administrators
   • Backup Operators
   • Users

   На серверах Windows Server с ролью контроллера домена Active Directory интерактивный вход разрешен для таких локальных и доменных групп:

   • Account Operators
   • Administrators
   • Backup Operators
   • Print Operators
   • Server Operators
5. Вы можете разрешить другим пользователям или группам локальный вход в систему. Для этого можно нажать кнопку Add User or Group, и найти нужных пользователей. Также вы можете, например, запретить пользователям без прав администратора вход на это устройство. Для этого просто удалите группу Users из настроек данной политики;
6. После внесения изменения изменений нужно обновить настройки локальных политик командой
   gpupdate /force
   (перезагрузка не понадобится).

Также обратите внимание, что в этой же секции GPO есть еще одна политика, позволяющая принудительно запретить локальный интерактивной вход на консоль Windows. Политика называется Deny log on locally (Запретить локальных вход). В моем случае на компьютер запрещен анонимный локальный вход под учетной записью Гостя.

Картинка с сайта: winitpro.ru

Вы можете запретить определенной группе (или пользователю) локальный вход на компьютер, добавив группу в эту политику. Т.к. запрещающая политика Deny log on locally имеет более высокий приоритет, чем разрешающая (Allow log on locally), пользователи не смогут зайти на этот компьютер с ошибкой:

Этот метод входа запрещено использовать

Одной из best practice по обеспечению безопасности аккаунтов администраторов в домене Windows является принудительный запрет на локальных вход на рабочие станции и рядовые сервера под администраторами домена. Для этого нужно распространить политику Deny log on locally с группой Domain Admins на все OU, кроме Domain Controllers. Аналогично нужно запретить вход под локальными учетными записями.

В доменной среде на компьютер может действовать несколько GPO. Поэтому, чтобы узнать примененные политики, назначающих права на локальный вход, нужно проверить результирующие настройки политик. Для получения результирующих настроек GPO на компьютере можно использовать консоль
rsop.msc
или утилиту gpresult.

Обратите внимание, что пользователи могут использовать интерактивные RDP сессии для подключения к устройству с Windows (если на нем включен RDP вход) несмотря на запрет локального входа. Список пользователей, которым разрешен вход по RDP задается в этом же разделе GPO с помощью параметра Allow logon through Remote Desktop Services.

Еще одной из причин, из-за которой вы можете встретить ошибку “
The sign-in method you are trying to use isn’t allowed
”, если в атрибуте LogonWorkstations у пользователя в AD задан список компьютеров, на которые ему разрешено входить (подробно описано в статье по ссылке). С помощью PowerShell командлета Get-ADUser вы можете вывести список компьютеров, на которых разрешено логиниться пользователю (по умолчанию список должен быть пустым):

(Get-ADUser kbuldogov -Properties LogonWorkstations).LogonWorkstations

В некоторых случаях (как правило в филиалах) вы можете разрешить определенному пользователю локальный и/или RDP вход на контроллер домена/локальный сервер. Вам достаточно добавить учетную запись пользователя в локальную политику Allow log on locally на сервере. В любом случае это будет лучше, чем добавлять пользователя в группу локальных администраторов. Хотя в целях безопасности еще лучше использовать RODC контроллер домена.

Также вы можете предоставить права на локальный вход с помощью утилиты ntrights (утилита входила в какую-то древнюю версию Admin Pack). Например, чтобы разрешить локальный вход, выполните команду:

ntrights +r SeInteractiveLogonRight -u "GroupName"

Чтобы запретить вход:

ntrights -r SeInteractiveLogonRight -u "UserName"

If you are encountering the “The sign-in method you’re trying to use isn’t allowed” on a computer, a system administrator has likely prevented you from accessing that particular PC. They may have their reasons for it, but now how do you sign into it?

The mentioned error message can occur when attempting one of the two sign-in scenarios:

• You’re trying to log in with a Guest account on a Windows 11 or Windows 10 PC.
• You’re trying to log in on a Windows Server with an account that is not a domain administrator.

The error message that you may come across is:

The sign-in method you are trying to use isn’t allowed. Try a different sign-in method or contact your system or network administrator.

In this article, we show you how to bypass this error message simply by making changes to certain Group Policies.

Why the Error Occurs

“The sign-in method you’re trying to use isn’t allowed” error occurs when a sysadmin has restricted a specific user or an entire user group from accessing a computer. This policy can be applied on individual computers, as well as the computer that has been joined to a domain.

Two policies control sign-in behavior:

• Allow log on locally
• Deny log on locally

In both of these Group Policies, the user or group is defined that should be allowed to log on, or restricted. Note that the “Deny log on locally” policy has precedence over the “Allow log on locally” policy. Therefore, if a user account has been added to both policies, the user won’t be allowed to sign in, and you will see the aforementioned error message.

Further ahead in this article, we are going to show you how to modify both of these policies to gain access to the computer. Note that these methods will only work if you have access to the local administrator account (on a Windows client PC) or the Domain Controller (in the case of Windows Server). Otherwise, you may want to connect with your domain administrator.

Fix the Disallowed Sign-In Method Error

Allow User to Log On Locally

The first thing you must do is add the user to the Group Policy “Allow log on locally.” The methods for this are slightly different on a Windows client computer and a Windows Server.

Allow User to Log On Locally on Windows 10, 11

Use the following steps to allow the user to successfully sign in on a Windows client computer:

1. Open the Group Policy Editor by typing in “gpedit.msc” in the Run Command box.

   

   Картинка с сайта: www.itechtics.com

2. Navigate to the following from the left pane:

   Computer Configuration >> Windows Settings >> Security Settings >> Local Policies >> User Rights Assignment

3. Open the policy “Allow log on locally.”

   

   Картинка с сайта: www.itechtics.com

   Here, you will find all the users and groups that are allowed to log in to the computer.

4. If you find that your user account is not added, click “Add User or Group.”

   

   Картинка с сайта: www.itechtics.com

5. In the popup window, click Advanced.

   

   Картинка с сайта: www.itechtics.com

6. Now click “Find Now.”

   This will populate all of the users and groups in the list below.

   

   Картинка с сайта: www.itechtics.com

7. Double-click the user/group you want to add, and then click “Ok” on the remaining windows.

   This will add the selected user or group to the “allow” list.

   

   Картинка с сайта: www.itechtics.com

8. Close the Group Policy Editor and run the following command in an elevated Command Prompt to enforce the policy changes:

   GPUpdate /Force

   

   Картинка с сайта: www.itechtics.com

   Alternatively, you can restart the computer instead.

Allow User to Log On Locally on Windows Server

1. Open the Group Policy Management Console (GPMC) by typing in “gpmc.msc” in the Run Command box.

   

   Картинка с сайта: www.itechtics.com

2. Navigate to the following from the left pane:

   Forest: [ForestName] >> Domains >> [DomainName] >> Group Policy Objects

3. Here, right-click “Default Domain Controllers Policy” and then click “Edit” from the context menu.

   

   Картинка с сайта: www.itechtics.com

   The Group Policy Editor will now open.

4. Navigate to the following from the left pane:

   Computer Configuration >> Policies >> windows Settings >> Security Settings >> Local Policies >> User Rights Management

5. Open the policy “Allow log on locally.”

   In this window, you will find all the users and groups that are allowed to log in to the server.

6. If you find that your user account is not added, click “Add User or Group.”

   

   Картинка с сайта: www.itechtics.com

7. Click “Browse” and then click “Advanced.”

   

   Картинка с сайта: www.itechtics.com

8. Now click “Find Now.”

   This will populate all of the users and groups in the list below

   

   Картинка с сайта: www.itechtics.com

9. Double-click the user/account that you want to allow to sign into the Server, and then continue to click “Ok” on all the windows to save the changes.

10. Close the Group Policy Editor and the Group Policy Management Console, and run the following command in an elevated Command Prompt to enforce the policy changes:

    GPUpdate /Force

    

    Картинка с сайта: www.itechtics.com

This covers adding the user to the allowed list. However, we still have to check and ensure that the user is not on the deny list.

Remove User from the Deny Logon List

Remove User from Deny Log on Locally on Windows 10, 11

1. Open the Group Policy Editor by typing in “gpedit.msc” in the Run Command box.

   

   Картинка с сайта: www.itechtics.com

2. Navigate to the following from the left pane:

   Computer Configuration >> Windows Settings >> Security Settings >> Local Policies >> User Rights Assignment

3. Open the policy “Deny log on locally.”

   

   Картинка с сайта: www.itechtics.com

   Here, you will find all the users and groups that are denied logging in to the computer.

4. If you find that your user account is listed, select it and then click “Remove.”

   

   Картинка с сайта: www.itechtics.com

   As you can see from the image above, the “Guest” account is denied access to log into the computer. This is the default Windows 10/11 setting.

5. Now click Apply and Ok.

6. Close the Group Policy Editor and run the following command in an elevated Command Prompt to enforce the policy changes:

   GPUpdate /Force

   

   Картинка с сайта: www.itechtics.com

   Alternatively, you can restart the computer instead.

Remove User from Deny Log on Locally on Windows Server

1. Open the Group Policy Management Console (GPMC) by typing in “gpmc.msc” in the Run Command box.

   

   Картинка с сайта: www.itechtics.com

2. Navigate to the following from the left pane:

   Forest: [ForestName] >> Domains >> [DomainName] >> Group Policy Objects

3. Here, right-click “Default Domain Controllers Policy” and then click “Edit” from the context menu.

   

   Картинка с сайта: www.itechtics.com

   The Group Policy Editor will now open.

4. Navigate to the following from the left pane:

   Computer Configuration >> Policies >> windows Settings >> Security Settings >> Local Policies >> User Rights Management

5. Open the policy “Deny log on locally.”

   In this window, you will find all the users and groups that are denied access to log in to the server.

6. If you find that your user account is mentioned in the list, select it and then click “Remove.”

   

   Картинка с сайта: www.itechtics.com

7. Click Apply and Ok.

8. Close the Group Policy Editor and the Group Policy Management Console, and run the following command in an elevated Command Prompt to enforce the policy changes:

   GPUpdate /Force

   

   Картинка с сайта: www.itechtics.com

Performing the given steps above, whether on a Windows 10/11 PC or a Windows Server, you should now be able to sign into the account without encountering the “The sign-in method you’re trying to use isn’t allowed” error message.

However, if these didn’t work, there are a few other things you may want to consider to fix the issue.

Disable Antivirus Software

Antivirus can block a user from signing in, especially if the computer is connected to a domain. In such an instance, you need to disable this antivirus software and check if it fixes the issue.

Learn how to disable Windows Defender (Windows Security).

Closing Thoughts

The error “The sign-in method you are trying to use isn’t allowed” is encountered when trying to log in using a Guest account on a Windows client PC, or attempting to sign in on a Domain Controller with an account without domain administrative privileges. Regardless, you can still sign into the PCusin the very same account by making changes to the Group Policies, as discussed in this post.

In this article, we have shown how to allow a user to sign into a PC if they are restricted, on both Windows 10/11 PCs and Windows Servers.

Способ 1: Другая учетная запись

Если на компьютере имеется другая учетная запись администратора, используйте ее для доступа к настройкам входа в систему. Это самое простое и эффективное решение.

1. Войдите в систему, используя другую учетную запись администратора. Учетная запись обычного пользователя не подойдет, и для решения проблемы придется использовать другой способ.
2. Откройте оснастку «Локальные политики безопасности» командой secpol.msc, выполненной в диалоговом окошке быстрого запуска. Чтобы его открыть, нажмите на клавиатуре комбинацию «Win + R».


Картинка с сайта: lumpics.ru

3. Перейдите в раздел «Параметры безопасности» → «Локальные политики» → «Назначение прав пользователей», отыщите справа политику «Запретить локальный вход» и откройте ее «Свойства» двойным по ней кликом.


Картинка с сайта: lumpics.ru

4. В списке групп и пользователей этой политики должна присутствовать только одна группа — «Гость». Если в списке присутствуют другие пользователи или группы, удалите их и сохраните настройки.


Картинка с сайта: lumpics.ru

5. Затем перейдите к политике «Локальный вход в систему» и точно так же откройте ее «Свойства».


Картинка с сайта: lumpics.ru

6. В списке пользователей и групп политики должны присутствовать «Администраторы», «Гость», «Операторы архива» и «Пользователи». Если какая-то из записей, главным образом «Администраторы» и «Пользователи», отсутствует, добавьте ее. Нажмите кнопку «Добавить пользователя или группу…».


Картинка с сайта: lumpics.ru

7. В открывшемся диалоговом окошке нажмите «Типы объектов».


Картинка с сайта: lumpics.ru

8. Отметьте все типы объектов и нажмите «ОК».


Картинка с сайта: lumpics.ru

9. В диалоговом окошке выбора пользователей и групп введите название отсутствующей группы, например «Администраторы», нажмите «Проверить имена», а затем «ОК».


Картинка с сайта: lumpics.ru

10. Сохраните настройки.

Готово, можно перезагружать компьютер и пробовать входить с учетной записью, при попытке входа в которую появлялось сообщение «Этот метод входа запрещено использовать».

Способ 2: Активация встроенного Администратора

К этому методу можно прибегнуть в случае отсутствия на компьютере второй учетной записи администратора.

1. Перезагрузите компьютер с экрана входа в систему с зажатой клавишей Shift.
2. Оказавшись в среде восстановления, перейдите в раздел «Поиск и устранение неисправностей» → «Дополнительные параметры» и нажмите «Командная строка».


Картинка с сайта: lumpics.ru

3. Выполните команду net user Администратор /active:yes, а затем перезагрузите компьютер в штатном режиме.


Картинка с сайта: lumpics.ru

4. На экране входа в систему должна появиться новая учетная запись «Администратор». Используйте ее для входа в систему. По умолчанию она не имеет пароля.


Картинка с сайта: lumpics.ru

5. Произведите указанные в Способе 1 действия, начиная со второго шага.

Как вариант, из-под встроенной учетной записи «Администратор» можно создать другую учетную запись (Microsoft или локальную) и перенести в нее личные файлы из профиля, в который не удается войти. Прибегнуть к такому решению можно в том случае, если восстановить доступ к учетной записи Windows 10 не удается.

Способ 3: Сброс пароля

Попробуйте сбросить пароль входа в учетную запись, используя стороннюю утилиту PCUnlocker. Она хороша тем, что не только удаляет пароль, но и запрет локального входа для этой учетной записи при условии, что этот запрет не распространяется на всю группу администраторов или пользователей. Утилита входит в состав спасательного диска WinPE 11-10-8 Sergei Strelec.

Скачать WinPE 11-10-8 Sergei Strelec с официального сайта

1. Скачайте образ WinPE 11-10-8 Sergei Strelec, запишите его на флешку средствами Rufus или аналогичной программы и загрузите с накопителя компьютер.

   Читайте также: Гайд по записи ISO образа на flash-накопитель

2. В меню «Пуск» выберите «Программы WinPE» → «Утилиты для сброса паролей» → «PCUnlocker».


Картинка с сайта: lumpics.ru

3. В открывшемся окне утилиты выберите учетную запись, для которой хотите сбросить пароль, и нажмите кнопку «Сбросить пароль».


Картинка с сайта: lumpics.ru

Готово, можно перезагружать компьютер в обычном режиме.

Способ 4: Восстановление системы

Откат к точке восстановления является более жестким, но достаточно эффективным решением. Используйте его, если наиболее вероятной причиной неполадки видите повреждение системы или ее настроек.

1. Зайдите в среду восстановления, перезагрузив компьютер с зажатой клавишей Shift, как было показано в Способе 2.
2. Перейдите в раздел «Поиск и устранение неисправностей» → «Дополнительные параметры» и нажмите «Восстановление системы».


Картинка с сайта: lumpics.ru

3. Запустится мастер восстановления. Выберите в нем бэкап, на дату и время создания которого в системе не наблюдалось проблем, и выполните откат, руководствуясь подсказками мастера.


Картинка с сайта: lumpics.ru

Что касается ошибки входа «Этот метод входа запрещено использовать» на корпоративных, присоединенных к домену компьютерах, возможно, наилучшим решением в таких случаях станет обращение к администратору локальной сети.

Наша группа в TelegramПолезные советы и помощь

Привет. Имея контроллер домена (КД), под управление вин 2012 р2  Мне нужно было разрешить одному из созданных на КД пользователей (назвал я его rds1)  вход на этот же КД (локальный вход).

Выйдя с учетной записи администратора КД пытаюсь войти под  rds1 и получаю «Этот метод входа запрещено использовать».

Это все сделано продумано корпорацией MS, потому как, для чего обычному пользователю входить на КД?! Обычный пользователь без проблем может зайти и под TS  ролями или RDS службой, а локальный вход по умолчанию для простых пользователей запрещен.

Покажу как  разрешить  вход  локального пользователя;

· Открыл  gpmc.msc после чего выбрал Объекты групповой политики

· Выбирал политику Default Domain Controllers Policy и нажал Изменить

· Перешел по пути Конфигурация компостера – политики – конфигурация windows –параметры безопасности —  локальные политики – назначение прав пользователя – открыл параметр локальный вход в систему

· Добавил пользователя rds1 в разрешение локального входа

· Сделал   gpupdate /force в cmd

Теперь могу  делать win+l на кд и входить под rds1