Цей метод введення заборонено використовувати для введення Windows

Якщо ви отримаєте помилку біля входу в Windows "Цей метод введення заборонено використовувати"Тоді отримані налаштування групової політики на комп'ютері забороняють локальний вхід під цим користувачем. Найчастіше така помилка з'являється, якщо ви намагаєтесь ввести під гостьовий обліковий запис на звичайному комп’ютері або під користувачем без прав адміністратора домену до контролера домену. Але є й інші нюанси.

Метод входу, який ви намагаєтесь використовувати, не дозволяється. Для отримання додаткової інформації зверніться до свого адміністратора мережі.

Список користувачів та груп, які дозволяють інтерактивним локальним входом на комп'ютер, встановлюється через групову політику.

1. Відкрийте редактор місцевої групової політики ( Gpedit.MSC );
2. Перейдіть до розділу Конфігурація комп'ютера -> Налаштування Windows -> Налаштування безпеки -> Локальна політика -> Призначення прав користувача;
3. Знайдіть політику у списку Дозвольте входити на локулі (Локальний вхід до системи);
4. Ця політика містить перелік груп, які дозволяють локальний вхід на цей комп'ютер;
   Залежно від операційної системи та ролі комп'ютера, перелік груп, які дозволені локальним входом, може відрізнятися.Наприклад, на робочих станціях з Windows 10 та звичайними серверами на Windows Server 2022,2019,2016 локальний вхід дозволений для наступних груп:
   • Адміністратори
   • Резервні оператори
   • Користувачі

   На серверах Windows Server з роллю контролера домену Active Directory інтерактивний вхід дозволений для таких локальних та доменних груп:

   • Оператори облікових записів
   • Адміністратори
   • Резервні оператори
   • Друкарські оператори
   • Оператори серверів

5. Ви можете дозволити іншим користувачам або групам локального входу в систему. Для цього натисніть кнопку Додати користувача або групу та знайдіть потрібних користувачів. Ви також можете, наприклад, заборонити користувачам без прав на введення адміністратора на цей пристрій. Для цього просто видаліть групу Користувачі з налаштувань цієї політики;
6. Після внесення змін до змін потрібно оновити налаштування локального політичного командування Gpupdate /force (перезавантаження не знадобиться).

Також зауважте, що в тому ж розділі GPO існує інша політика, яка дозволяє примусово заборонити локальний інтерактивний вхід на консоль Windows. Політика називається Заперечувати вхід на локулі (Забороняє місцевий вхід). У моєму випадку анонімний місцевий вхід заборонено на комп’ютері під гостем.

Ви можете заборонити певну групу (або користувача) за допомогою локального входу на комп'ютер, додавши групу до цієї політики. Т.до. Журнал заперечення щодо політики, що забороняє локально, має більш високий пріоритет, ніж дозволити (дозволити входити на локально), користувачі не зможуть перейти до цього комп'ютера з помилкою:

Цей метод введення заборонено використовувати

Однією з найкращих практик забезпечення безпеки адміністраторів у домені Windows є примусова заборона на місцевий вхід на робочі станції та звичайні сервери під адміністраторами домену. Для цього вам потрібно розповсюдити журнал заперечення на локальній політиці з групою адміністраторів домену для всіх, крім контролерів домену. Аналогічно, вам потрібно заборонити входити під місцевими рахунками.

У доменному середовищі кілька GPO можуть працювати на комп’ютері. Тому для того, щоб дізнатися застосовувані політики, що призначають права на місцевий вхід, вам потрібно перевірити отримані налаштування політика. Щоб отримати отримані параметри GPO на комп’ютері, ви можете використовувати консоль RSOP.MSC Або корисність GPRESULT.

Зверніть увагу, що користувачі можуть використовувати інтерактивні сеанси RDP для підключення до пристрою Windows (якщо вхід RDP), незважаючи на заборону на локальному вході. Список користувачів, яким дозволено вводити RDP, встановлюється в тому ж розділі GPO, використовуючи параметр Дозволити вхід через служби віддаленого робочого столу.

Ще одна з причин, з яких ви можете знайти помилку " Метод входу, який ви випробуєте нам, не допускаються "Якщо в атрибуті Вхідні роботи Користувач має список комп’ютерів, які йому дозволено вводити (детально описано у статті за посиланням). Використовуючи PowerShell, командир Get-Douser може відображати список комп'ютерів, на яких користувачеві дозволяють увійти (за замовчуванням список повинен бути порожнім):

(Get -duser kbuldogov -properties logonworkstations).Вхідні роботи

У деяких випадках (як правило у галузях) ви можете дозволити певному користувачеві локальному та/або rdp вхід до контролера домену/локального сервера. Вам достатньо додати обліковий запис користувача до локальної політики дозволу журналу локально на сервері. У будь -якому випадку, це буде краще, ніж додавання користувача до групи місцевих адміністраторів. Хоча для цілей безпеки ще краще використовувати контролер домену RODC.

Ви також можете надати права на місцевий вхід за допомогою утиліти Ntrights (утиліта була частиною древньої версії адміністратора). Наприклад, для вирішення локального входу виконайте команду:

ntrights +r seinteractivelogonright -u "groupName"

Заборони вхід:

Ntrights -r seintractivelogonright -u "ім'я користувача"