วิธีการลงชื่อเข้าใช้ไม่ได้รับอนุญาตให้เข้าสู่ระบบ Windows

หากคุณเห็น The sign-in method is not allowed ข้อผิดพลาดเมื่อพยายามเข้าสู่ระบบ Windows หมายความว่าการตั้งค่านโยบายกลุ่มที่เป็นผลลัพธ์จะป้องกันการลงชื่อเข้าใช้ในเครื่องสำหรับบัญชีผู้ใช้ปัจจุบัน ข้อผิดพลาดส่วนใหญ่มักปรากฏขึ้นหากคุณพยายามลงชื่อเข้าใช้คอมพิวเตอร์โดยใช้บัญชีผู้เยี่ยมชมหรือตัวควบคุมโดเมนโดยใช้บัญชีผู้ใช้ที่ไม่มีสิทธิ์ของผู้ดูแลระบบโดเมน อย่างไรก็ตาม อาจมีเหตุผลอื่น

The sign-in method you're trying to use isn't allowed. For more info, contact your network administrator.

รายชื่อผู้ใช้และกลุ่มที่ได้รับอนุญาตให้ลงชื่อเข้าใช้คอมพิวเตอร์แบบโต้ตอบได้รับการกำหนดค่าโดยใช้ GPO

1. เปิดตัวแก้ไขนโยบายกลุ่มภายในเครื่อง (gpedit.msc );
2. ไปที่ การกำหนดค่าคอมพิวเตอร์ -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายในพื้นที่ -> การกำหนดสิทธิ์ผู้ใช้;
3. ค้นหา อนุญาตให้เข้าสู่ระบบในเครื่อง ในรายการนโยบาย
4. นโยบายนี้มีรายชื่อกลุ่มและผู้ใช้ที่ได้รับอนุญาตให้ลงชื่อเข้าใช้คอมพิวเตอร์ในเครื่อง
   รายการกลุ่มที่อนุญาตให้ลงชื่อเข้าใช้ในเครื่อง ขึ้นอยู่กับระบบปฏิบัติการและบทบาทของคอมพิวเตอร์ อาจแตกต่างกันไป ตัวอย่างเช่น อนุญาตให้ลงชื่อเข้าใช้ในระบบสำหรับกลุ่มผู้ใช้ต่อไปนี้บนเวิร์กสเตชันที่ใช้ Windows 10 และเซิร์ฟเวอร์ที่ใช้ Windows Server 2022,2019,2016:
   • ผู้ดูแลระบบ
   • ตัวดำเนินการสำรอง
   • ผู้ใช้

   บนเซิร์ฟเวอร์ที่ใช้ Windows Server ที่มีบทบาทตัวควบคุมโดเมน Active Directory (ADDS) การลงชื่อเข้าใช้แบบโต้ตอบจะได้รับอนุญาตสำหรับกลุ่มต่อไปนี้:

   • เจ้าหน้าที่บัญชี
   • ผู้ดูแลระบบ
   • ตัวดำเนินการสำรอง
   • ตัวดำเนินการพิมพ์
   • ตัวดำเนินการเซิร์ฟเวอร์

5. คุณสามารถอนุญาตให้ลงชื่อเข้าใช้ในเครื่องสำหรับผู้ใช้หรือกลุ่มอื่น โดยคลิกเพิ่มผู้ใช้หรือกลุ่ม และเลือกผู้ใช้ที่คุณต้องการเพิ่ม ตัวอย่างเช่น คุณป้องกันไม่ให้ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบเข้าสู่ระบบอุปกรณ์ ในการดำเนินการ เพียงลบ ผู้ใช้ กลุ่มจากการตั้งค่านโยบาย
6. หลังจากทำการเปลี่ยนแปลงแล้ว ให้อัปเดตการตั้งค่า Group Policy โดยใช้ gpupdate /force คำสั่ง (ไม่ต้องรีบูต)

นอกจากนี้ โปรดทราบว่ามีนโยบายอื่นเพื่อป้องกันการลงชื่อเข้าใช้ Windows แบบโต้ตอบในเครื่องในส่วน GPO เดียวกัน นโยบายนี้เรียกว่า ปฏิเสธการเข้าสู่ระบบในเครื่อง . ในกรณีของฉัน การเข้าสู่ระบบภายในเครื่องโดยไม่ระบุชื่อภายใต้บัญชี Guest จะถูกปฏิเสธบนคอมพิวเตอร์

คุณสามารถป้องกันไม่ให้กลุ่มใดกลุ่มหนึ่ง (หรือผู้ใช้) ล็อกออนเข้าสู่คอมพิวเตอร์ภายในเครื่องได้โดยเพิ่มลงในนโยบายนี้ เนื่องจาก ปฏิเสธการเข้าสู่ระบบในเครื่อง นโยบายมีลำดับความสำคัญสูงกว่า อนุญาตการล็อกออนในเครื่อง ผู้ใช้จะไม่สามารถเข้าสู่ระบบคอมพิวเตอร์โดยมีข้อผิดพลาดดังต่อไปนี้:

The sign-in method isn’t allowed.

ในสภาพแวดล้อมของโดเมน อาจมีการกำหนด GPO หลายรายการให้กับคอมพิวเตอร์ ดังนั้นหากต้องการรับนโยบายที่อนุญาตให้ลงชื่อเข้าใช้ในเครื่อง คุณต้องตรวจสอบการตั้งค่านโยบายที่ได้รับ คุณสามารถใช้ rsop.msc คอนโซลหรือเครื่องมือ gpresult เพื่อรับการตั้งค่า GPO ที่เป็นผลลัพธ์บนคอมพิวเตอร์ของคุณ

อีกสาเหตุหนึ่งที่ทำให้คุณเห็น “The sign-in method you are trying to use isn’t allowed ข้อผิดพลาด ” คือเมื่อรายการคอมพิวเตอร์ที่ผู้ใช้ได้รับอนุญาตให้เข้าสู่ระบบถูกจำกัดใน LogonWorkstations คุณลักษณะผู้ใช้ใน AD (อ่านเพิ่มเติมที่นี่) ใช้ Get-ADUser PowerShell cmdlet, คุณสามารถแสดงรายการคอมพิวเตอร์ที่ผู้ใช้ได้รับอนุญาตให้เข้าสู่ระบบได้ (โดยค่าเริ่มต้น รายการจะว่างเปล่า):

(Get-ADUser maxbak -Properties LogonWorkstations).LogonWorkstations

ในบางกรณี คุณอาจอนุญาตให้ผู้ใช้ล็อกออนเข้าสู่ตัวควบคุมโดเมน/โฮสต์ Windows Server ผ่าน RDP หรือในเครื่อง การเพิ่มบัญชีผู้ใช้ในนโยบายท้องถิ่นก็เพียงพอแล้ว อนุญาตให้เข้าสู่ระบบในเครื่อง บนเซิร์ฟเวอร์ของคุณ อย่างไรก็ตาม จะดีกว่าการเพิ่มผู้ใช้ในกลุ่ม Local Administrators อย่างไรก็ตาม ควรใช้ตัวควบคุมโดเมน RODC ด้วยเหตุผลด้านความปลอดภัย

คุณยังสามารถอนุญาตให้เข้าสู่ระบบโดยใช้ ntrights (เครื่องมือนี้รวมอยู่ใน Admin Pack เวอร์ชันเก่าบางเวอร์ชัน) ตัวอย่างเช่น หากต้องการอนุญาตการเข้าสู่ระบบภายในกลุ่มโดเมน ให้เรียกใช้คำสั่งด้านล่าง:

ntrights +r SeInteractiveLogonRight -u "GroupName"

ในการปฏิเสธการเข้าสู่ระบบในเครื่อง:

ntrights -r SeInteractiveLogonRight -u "UserName"