The sign in method you re trying to use isn t allowed как исправить

Если при входе в Windows вы получаете ошибку “Этот метод входа запрещено использовать”, значит результирующие настройки групповых политик на компьютере запрещают локальный вход под этим пользователем. Чаще всего такая ошибка появляется, если вы пытаетесь войти под гостевой учетной записью на обычный компьютер, или под пользователем без прав администратора домена на контроллер домена. Но бывают и другие нюансы.

The sign-in method you're trying to use isn't allowed. For more info, contact your network administrator.

Список пользователей и групп, которым разрешен интерактивный локальный вход на компьютер задается через групповую политику.

1. Откройте редактор локальной групповой политики (
   gpedit.msc
   );
2. Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment;
3. Найдите в списке политику Allow log on locally (Локальный вход в систему);
4. В этой политике содержится список групп, которым разрешен локальный вход на этот компьютер;

   В зависимости от операционной системы и роли компьютера список групп, которым разрешен локальный вход может отличаться.Например, на рабочих станциях с Windows 10 и рядовых серверах на Windows Server 2022,2019,2016 локальный вход разрешен для следующих групп:

   • Administrators
   • Backup Operators
   • Users

   На серверах Windows Server с ролью контроллера домена Active Directory интерактивный вход разрешен для таких локальных и доменных групп:

   • Account Operators
   • Administrators
   • Backup Operators
   • Print Operators
   • Server Operators
5. Вы можете разрешить другим пользователям или группам локальный вход в систему. Для этого можно нажать кнопку Add User or Group, и найти нужных пользователей. Также вы можете, например, запретить пользователям без прав администратора вход на это устройство. Для этого просто удалите группу Users из настроек данной политики;
6. После внесения изменения изменений нужно обновить настройки локальных политик командой
   gpupdate /force
   (перезагрузка не понадобится).

Также обратите внимание, что в этой же секции GPO есть еще одна политика, позволяющая принудительно запретить локальный интерактивной вход на консоль Windows. Политика называется Deny log on locally (Запретить локальных вход). В моем случае на компьютер запрещен анонимный локальный вход под учетной записью Гостя.

Вы можете запретить определенной группе (или пользователю) локальный вход на компьютер, добавив группу в эту политику. Т.к. запрещающая политика Deny log on locally имеет более высокий приоритет, чем разрешающая (Allow log on locally), пользователи не смогут зайти на этот компьютер с ошибкой:

Этот метод входа запрещено использовать

Одной из best practice по обеспечению безопасности аккаунтов администраторов в домене Windows является принудительный запрет на локальных вход на рабочие станции и рядовые сервера под администраторами домена. Для этого нужно распространить политику Deny log on locally с группой Domain Admins на все OU, кроме Domain Controllers. Аналогично нужно запретить вход под локальными учетными записями.

В доменной среде на компьютер может действовать несколько GPO. Поэтому, чтобы узнать примененные политики, назначающих права на локальный вход, нужно проверить результирующие настройки политик. Для получения результирующих настроек GPO на компьютере можно использовать консоль
rsop.msc
или утилиту gpresult.

Обратите внимание, что пользователи могут использовать интерактивные RDP сессии для подключения к устройству с Windows (если на нем включен RDP вход) несмотря на запрет локального входа. Список пользователей, которым разрешен вход по RDP задается в этом же разделе GPO с помощью параметра Allow logon through Remote Desktop Services.

Еще одной из причин, из-за которой вы можете встретить ошибку “
The sign-in method you are trying to use isn’t allowed
”, если в атрибуте LogonWorkstations у пользователя в AD задан список компьютеров, на которые ему разрешено входить (подробно описано в статье по ссылке). С помощью PowerShell командлета Get-ADUser вы можете вывести список компьютеров, на которых разрешено логиниться пользователю (по умолчанию список должен быть пустым):

(Get-ADUser kbuldogov -Properties LogonWorkstations).LogonWorkstations

В некоторых случаях (как правило в филиалах) вы можете разрешить определенному пользователю локальный и/или RDP вход на контроллер домена/локальный сервер. Вам достаточно добавить учетную запись пользователя в локальную политику Allow log on locally на сервере. В любом случае это будет лучше, чем добавлять пользователя в группу локальных администраторов. Хотя в целях безопасности еще лучше использовать RODC контроллер домена.

Также вы можете предоставить права на локальный вход с помощью утилиты ntrights (утилита входила в какую-то древнюю версию Admin Pack). Например, чтобы разрешить локальный вход, выполните команду:

ntrights +r SeInteractiveLogonRight -u "GroupName"

Чтобы запретить вход:

ntrights -r SeInteractiveLogonRight -u "UserName"

September 12, 2016 updated by

Leave a reply »

While trying to sign in on your Windows device, you suddenly bump into an error message that reads, “the sign-in method you’re trying to use isn’t allowed.” What causes this issue, and how do you resolve it?

We’ve got all the solutions for you! So, let’s dive in and explore how you can tackle this problem once and for all.

1. Sign Into Windows Using a System Administrator Account

The issue at hand usually pops up when using a local account. So, the easiest solution is to use a system administrator account when you’re on the “sign-in” page.

But if you’re using someone else’s PC, then maybe the system administrator has blocked some sign-in methods. In this case, you can only sign in on the device once the owner configures some system settings.

2. Enable the “Allow Log On Locally” Option in the Local Group Policy Editor

Experiencing this issue while using your other local account? If so, then the issue might be coming from your administrator account.

If you’re the system administrator, it’s highly likely that you’ve prevented others from signing in to your device with local accounts. In this case, this will also prevent you from signing in on the device using your other local accounts.

To resolve this problem, you need to tweak a few settings in the Local Group Policy Editor (LGPE) as follows:

1. Log in to your administrator account. If you’re using someone else’s device, then you’d have to ask them to perform these methods.
2. Press Win + R to open the Run command dialog box.
3. Type gpedit.msc and click OK to open the LGPE.
4. Navigate to Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.
5. Locate and double-click on the Allow log on locally policy.

From there, follow these steps:

1. Navigate to the Local Security Settings tab.
2. Click the Add User or Group option to add your local account to the list.
3. Click the Advanced button to access the account selection page.
4. Click the Find Now button on the right-hand side pane to get a complete list of local accounts. The search results will appear at the bottom of the same window.
5. Locate and click the local account that you’re facing issues with. From there, click OK and then follow the on-screen steps to finalize the process.

3. Sign In Using a Different Local Account

In some cases, this issue might be specific to a certain local account. So, signing in with a different local account might help.

Now, here’s how to sign in to Windows using a different local account:

1. Press Win + I to access the system settings.
2. Select Accounts from the menu items.
3. Select the Email & accounts option on the left.
4. Click the Add a Microsoft account option on the right and then follow the on-screen instructions.

4. Scan and Repair Issues That Prevent You From Signing In to Windows

By now, the “sign-in” method issue should be resolved. But if that’s not the case, then maybe the error is caused by some system bugs. Now, an easy way out here is to scan your computer and fix any issues it might have.

In this case, you can use the Check Disk (CHKDSK) tool to scan and repair system issues.

Here are the steps you need to follow:

1. Type Command Prompt in the Start menu search bar.
2. Right-click on the Best match result and select Run as administrator.
3. Type the following command and press Enter:

chkdsk C: /f

In this case, the C: command represents the letter of the hard drive. If you’ve installed Windows on a different drive, then replace this command with the letter of the correct hard drive.

Once the scan is complete, restart your device to save these changes.

Couldn’t resolve the issue using a Check Disk scan? If so, then scanning your PC and removing bugs with other Windows tools might help.

Here are the steps you need to follow:

1. Press Win + I to open the system settings.
2. Select Update & Security from the options.
3. Click Windows Security on the left.
4. Select Virus & threat protection on the right.
5. Click Scan options in the middle pane.
6. Select any relevant scan option from the list and then press the Scan now button.

In some rare instances, you might be dealing with a hardware-related problem. In this case, the Windows Hardware and Devices troubleshooter could help.

So, let’s check out how you can use this tool to tackle the “sign-in” issue:

1. Press Win + I to access the system settings.
2. Type Troubleshoot settings in the search bar and select the relevant option.
3. Click the Additional troubleshooters option on the right.
4. Select the Hardware and Devices troubleshooter on the right and then click the Run the troubleshooter button.

7. Install the Latest Windows Updates

Maybe you’re not able to use a specific sign-in method because your system is outdated. In this case, you can easily tackle the problem by installing the latest Windows updates.

So, here are the steps for updating your Windows computer

1. Type Settings in the Start menu search bar and select the Best match.
2. Click Update & Security from the options.
3. Select the Windows Update option.
4. Click the Check for updates button on the right and follow the on-screen steps.

8. Restore Windows to Its Factory Settings

If all else fails, then resetting your device to its factory settings might be the best solution.

However, resetting your device could be a risky process. So, be sure to back up your Windows data before proceeding.

Here are the steps for resetting your Windows PC:

1. Press Win + I to open the system settings.
2. Select Update & Security from the menu items.
3. Select Recovery on the left-hand side.
4. Click the Get started button and then follow the on-screen instructions.

You Can Now Sign In to Your Windows Device Using Any Method

This error usually pops up when you’re using a local account. So, one of the best ways to resolve it is to switch to an administrator account. Alternatively, you can tackle the problem by applying any of the solutions we’ve covered.

From there, you can then check out cool tricks such as how to automatically sign in to a user account on Windows.