Nếu bạn thấy The sign-in method is not allowed
lỗi khi cố gắng đăng nhập Windows, điều đó có nghĩa là cài đặt Chính sách Nhóm kết quả ngăn đăng nhập cục bộ cho tài khoản người dùng hiện tại. Thông thường, lỗi xuất hiện nếu bạn cố gắng đăng nhập vào máy tính bằng tài khoản khách hoặc bộ điều khiển miền bằng tài khoản người dùng không có đặc quyền của quản trị viên miền. Tuy nhiên, có thể có một số lý do khác.
The sign-in method you're trying to use isn't allowed. For more info, contact your network administrator.
Danh sách người dùng và nhóm được phép đăng nhập tương tác vào máy tính được định cấu hình bằng GPO.
- Mở Local Group Policy Editor (
gpedit.msc
); - Đi tới Cấu hình máy tính -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Gán quyền người dùng ;
- Tìm Cho phép đăng nhập cục bộ trong danh sách các chính sách;
- Chính sách này chứa danh sách các nhóm và người dùng được phép đăng nhập cục bộ vào máy tính.
Tùy thuộc vào hệ điều hành và vai trò máy tính, danh sách các nhóm được phép đăng nhập cục bộ có thể thay đổi. Ví dụ:đăng nhập cục bộ được phép cho các nhóm người dùng sau trên máy trạm chạy Windows 10 và máy chủ chạy Windows Server 2022,2019,2016:- Quản trị viên
- Toán tử dự phòng
- Người dùng
Trên các máy chủ chạy Windows Server có vai trò bộ điều khiển miền Active Directory (ADDS), đăng nhập tương tác được phép cho các nhóm sau:
- Người điều hành tài khoản
- Quản trị viên
- Toán tử dự phòng
- Các nhà khai thác in
- Người điều hành máy chủ
- Bạn có thể cho phép đăng nhập cục bộ cho những người dùng hoặc nhóm khác. Để làm điều đó, hãy nhấp vào Thêm người dùng hoặc nhóm và chọn những người dùng bạn muốn thêm. Ví dụ:bạn ngăn người dùng không phải quản trị viên đăng nhập vào thiết bị. Để làm điều đó, chỉ cần xóa Người dùng nhóm từ cài đặt chính sách;
- Sau khi thực hiện các thay đổi, hãy cập nhật cài đặt Chính sách Nhóm bằng
gpupdate /force
lệnh (không cần khởi động lại).
Ngoài ra, lưu ý rằng có một chính sách khác để ngăn đăng nhập tương tác cục bộ vào Windows trong cùng một phần GPO. Chính sách này có tên là Từ chối đăng nhập cục bộ . Trong trường hợp của tôi, đăng nhập cục bộ ẩn danh trong tài khoản Khách bị từ chối trên máy tính.
Bạn có thể ngăn một nhóm cụ thể (hoặc một người dùng) đăng nhập vào máy tính cục bộ bằng cách thêm họ vào chính sách này. Kể từ khi Từ chối đăng nhập cục bộ chính sách có mức độ ưu tiên cao hơn so với Cho phép đăng nhập cục bộ , người dùng sẽ không thể đăng nhập vào máy tính bị lỗi sau:
The sign-in method isn’t allowed.Một trong những phương pháp hay nhất để bảo mật tài khoản quản trị viên đặc quyền trong miền Windows là từ chối đăng nhập cục bộ vào các máy trạm và máy chủ trong tài khoản quản trị viên miền. Để làm điều đó, hãy chỉ định Từ chối đăng nhập cục bộ chính sách dành cho nhóm Quản trị viên miền đối với tất cả các đơn vị tổ chức ngoại trừ Bộ điều khiển miền. Theo cách tương tự, bạn cần từ chối đăng nhập bằng tài khoản cục bộ.
Trong môi trường miền, nhiều GPO có thể được gán cho một máy tính. Vì vậy, để nhận được các chính sách cho phép đăng nhập cục bộ, bạn cần kiểm tra cài đặt chính sách kết quả. Bạn có thể sử dụng rsop.msc
bảng điều khiển hoặc công cụ gpresult để nhận cài đặt GPO kết quả trên máy tính của bạn.
Một lý do khác khiến bạn có thể thấy “The sign-in method you are trying to use isn’t allowed
”Là lỗi khi danh sách máy tính mà người dùng được phép đăng nhập bị hạn chế trong LogonWorkstations thuộc tính người dùng trong AD (đọc thêm tại đây). Sử dụng lệnh ghép ngắn Get-ADUser PowerShell , bạn có thể hiển thị danh sách các máy tính mà người dùng được phép đăng nhập (theo mặc định, danh sách trống):
(Get-ADUser maxbak -Properties LogonWorkstations).LogonWorkstations
Trong một số trường hợp, bạn có thể cho phép người dùng đăng nhập vào bộ điều khiển miền / máy chủ Windows Server qua RDP hoặc cục bộ. Chỉ cần thêm tài khoản người dùng vào chính sách cục bộ là đủ Cho phép đăng nhập cục bộ trên máy chủ của bạn. Dù sao, nó sẽ tốt hơn việc thêm một người dùng vào nhóm Quản trị viên cục bộ. Tuy nhiên, thậm chí còn tốt hơn nếu sử dụng bộ điều khiển miền RODC vì lý do bảo mật.
Bạn cũng có thể cho phép đăng nhập cục bộ bằng cách sử dụng ntrights (công cụ đã được bao gồm trong một số phiên bản Gói quản trị cũ). Ví dụ:để cho phép đăng nhập cục bộ cho một nhóm miền, hãy chạy lệnh bên dưới:
ntrights +r SeInteractiveLogonRight -u "GroupName"
Để từ chối đăng nhập cục bộ:
ntrights -r SeInteractiveLogonRight -u "UserName"