Меню

Этот метод входа запрещено использовать windows 10 в домене

Как разрешить / запретить пользователям вход на компьютеры в домене AD

По умолчанию при создании пользователя в AD он автоматически добавляется в группу Domain Users. Группа Domain Users в свою очередь по умолчанию добавляется в локальную группу Users на компьютере при добавлении его в домен AD. Это означает что любой пользователь домена может войти на любой компьютер в сети. В этой статье мы рассмотрим основные способы ограничения возможности входа пользователей на компьютеры домена.

Разрешаем вход только на определенные компьютеры в свойствах пользователя AD

В небольших доменах вы можете в свойствах каждого пользователя в AD ограничить возможность входа под его учетной на компьютеры домена. Например, вы хотите, чтобы конкретный пользователь мог входить только на свой компьютер. Для этого:

  1. Запустите оснастку ADUC (Active Directory Users and Computers), выполнив команду dsa.msc.
  2. С помощью поиска найдите учетную запись пользователя, которому нужно разрешить вход только на определённые компьютеры и откройте его свойства.
  3. Перейдите на вкладку Account и нажмите кнопку Log On To.
  4. Как вы видите, пользователю разрешено входить на все компьютеры (The user can log on to: All computer). Чтобы разрешить пользователю доступ на определенные компьютеры, выберите опцию The following computers и добавьте в список имена компьютеров, но которые ему разрешено логиниться.

Изменяем атрибут LogonWorkstations с помощью PowerShell

Вручную ограничивать вход пользователей на компьютеры домена довольно утомительно. С помощью PowerShell можно автоматизировать это действия. Список компьютеров, на которые разрешено входить пользователю хранится в атрибуте пользователя в AD – LogonWorkstations. Например, наша задача разрешить определенному пользователю входить только на компьютеры, чьи имена содержатся в текстовом файле computers.csv

Скрипт может выглядеть так (сначала загружаем модуль AD для Powershell):

Import-Module ActiveDirectory
$ADusername = ‘aapetrov’
$complist = Import-Csv -Path «C:\PS\computers.csv» | ForEach-Object <$_.NetBIOSName>
$comparray = $complist -join «,»
Set-ADUser -Identity $ADusername -LogonWorkstations $comparray
Clear-Variable comparray

С помощью следующей команды можно вывести список компьютеров, на которые разрешено входить пользователю можно с помощью командлета Get-ADUser.

Get-ADUser $ADusername -Properties LogonWorkstations | Format-List Name, LogonWorkstations

Либо можно посмотреть список компьютеров в консоли ADUC.

Чтобы добавить в список новый компьютер, воспользуйтесь такой командой:

$Wks = (Get-ADUser dvivannikov -Properties LogonWorkstations).LogonWorkstations
$Wks += «,newpc»
Set-ADUser aapetrov -LogonWorkstations $Wks

Ограничиваем вход на компьютеры с помощью GPO

В больших доменах использовать свойство пользователя LogonWorkstations для ограничения доступ пользователей к компьютерам нецелесообразно из-за ограничений и недостаточной гибкости. Как правило, чтобы запретить пользователям входить на некоторые ПК? используют групповые политики.

Можно ограничить список пользователей в локальной группе Users с помощью политики Restricted Groups (Windows Settings -> Security Settings), но мы рассмотрим другой вариант.

Есть две групповые политики, которые находятся в разделе Computer Configuration -> Policies -> Security Settings -> Local Policies -> User Rights Assignment (Конфигурация пользователя -> Политики -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя):

  • Deny log on locally (Запретить локальный вход) – позволяет запретить локальный вход на компьютеры для определенных пользователей или групп. ;
  • Allow log on locally (Локальный вход в систему) – содержит список пользователей и групп, которым разрешено входить на компьютер локально.

Например, чтобы запретить пользователям определенной группы входить на компьютеры в некой OU, вы можете создать отдельную группу пользователей, добавить ее в политику Deny log on locally и назначить ее на OU с компьютерами, доступ к которым вы хотите ограничить.

В больших доменах можно использовать комбинацию этих политик. Например, вы хотите запретить пользователям входить на компьютеры других OU.

Для этого в каждой OU нужно создать группу безопасности, куда нужно включить всех пользователей OU.

Import-module ActiveDirectory
$rootOU = “OU= Users,OU=MSK,DC=winitpro,DC=ru”
$group = “corp\msk-users”
Get-ADUser -SearchBase $rootOu -Filter * | ForEach-Object

Затем нужно включить политику Allow log on locally, добавить в нее эту группу (+ различные администраторские группы: Domain Admins, администраторы рабочих станций и прочее) и назначить политику на OU с компьютерами. Таким образом вы разрешите только пользователям конкретного OU входить на компьютеры.

При попытке входа пользователя, которому не разрешен локальный вход, появится окно с предупреждением:

Несколько важных моментов касательно данных политик:

    Не стоит применять данные политики, для ограничения доступа к серверам и тем более к контроллерам домена.

Источник статьи: http://winitpro.ru/index.php/2018/08/07/kak-razreshit-zapretit-polzovatelyam-vxod-na-kompyutery-v-domene/

Этот метод входа запрещено использовать»

Ответы

После выбора политики нужно через локальное меню по команде «Изменить» запустить ее редактор,

перейти в узел Конфигурация компьютера/Политики/Конфигурация Windows/Параметры безопасности/Локальные политики/Назначение прав пользователя, найти там политику Локальный вход в систему и отредактировать её.

PS Названия разделов политики пишу по памяти, могут быть некоторые неточности.

Все ответы

Проверьте групповые политики.

Может быть ошибочно указали группу для применения.

Куда глядеть в групповых подскажите?

профан в этом деле, так что извините. Дефолтные групповые у меня и только единственная политика которая отвечает за возможность управления подключенных клиентов через терминалы

сервер, поднят домен, в нем созданные пользователи, которые будут подключаться к TS, так вот пользователи могут подключаться к TS, а когда я после win+l хочу зайти под пользовательской учеткой (это я имел ввиду под словом «локально») то получаю ошибку. Админ учетка без данной ошибки входит в свою учетку.

Да, был доступ, заходил без проблем под пользователем.

Смотрите в консоли управления групповой политикой, узел результирующая политика, какая именно политика устанавливает у вас право пользователя Logon locally. Скорее всего, это Default Domain Controller Policy: в ней, насколько я помню, это право по умолчанию предоставляется только ряду привилегированных групп (Adminstrators, Server Opertors и т.п.), но не всем пользователям (Users, Domain Users).

Когда найёте эту политику — можете её поменять и после её применния (вручную — gpupdate, но на КД она и сама применяется весьма часто) пользователи смогут заходить локально.

Источник статьи: http://social.technet.microsoft.com/Forums/ru-RU/05d1aa36-877f-4242-a904-6b73a6a50287/-?forum=WS8ru

Вход под доменной учётной записью

Всем привет. Столкнулся с проблемой. При попытки входа под доменной учёткой не важно куда, что на сам сервер, что на компьютере пользователя выходит ошибка «Этот метод входа запрещено использовать». Под локальным Админом заходит. В групповых политиках запретов никаких нет.

Подскажите, где зарылась «собака», которая режет мне возможность логиниться под доменными учётками? Перерыл весь гугол и яндекс, но там всё ведёт про локальный вход.

Runas не работает под системной учётной записью
здравствуйте. проблема такая: если в запущенной под системной уч. записью командной строке.

Неполадки с учётной записью
Играясь с эмуляторами для андроида наткнулся на проблему что для некоторых эмуляторов нужно чтобы.

Вход на удаленку под анонимом
Имеем Windows Server 2008 Standart R2. Через брендмауэр доступ к удаленке разрешен только с двух ип.

После поднятия домена не могу войти под локальной учетной записью
Уважаемые пользователи поднял домен на server 2003, после перезагрузки не могу войти под локальной.

Symptom: When trying to logon a computer using non administrator ID, you may receive this message: «You cannot log on because the logon method you are using is not allowed on this computer. Please see you network administrator for more details.»

Case 1: Group Policy’ «Allow log on locally» was not setup to allow users or domain users. To setup allow users or domain users to logon the computer or domain, you need to add the users or domain users to the «Allow log on locally». Please follow these steps to add the users.

1. Run gpedit.msc.
2. Expand Computer Configuration\Windows Settings\Security Settings\Local Policies
3. Click on User Rights Assignment
4. Ensure that «Allow log on locally» includes Administrators, Backup
Operators, Domain Users or Users.

Case 2: Group Policy’ «Deny log on locally» was setup to deny users or domain users. To setup allow users or domain users to logon the computer or domain locally, «Deny log on locally» should be empty or no users or domain users in the list. Please follow these steps to remove the users or domain users from the «Deny log on locally».

1. Run gpedit.msc.
2. Expand Windows Settings\Security Settings\Local Policies
3. Click on User Rights Assignment
4. Ensure that «Deny log on locally» is empty.

Case 3: The local group policy allow user to logon. However, domain group policy which overrides local policy doesn’t allow users to logon locally. The resolution is modify the domain policy to allow users to logon locally.

Case 4: The domain policy allows domain users to logon locally, but the local policy doesn’t and the domain policy doesn’t apply to the computer. The fix is running gpupdate to force to update the domain policy.

Case 5: Norton Firewall blocks the communication between the client and domain controller. The solution is disabling Norton firewall or re-configuring it to allow to access the domain controller.

Симптом: при попытке войти в систему с помощью компьютера без идентификатора администратора может появиться следующее сообщение: «Вы не можете войти в систему, поскольку используемый вами метод входа не разрешен на этом компьютере. За дополнительной информацией обращайтесь к сетевому администратору».

Случай 1: групповая политика «Разрешить локальный вход в систему» ​​не была настроена для разрешения пользователей или пользователей домена. Чтобы разрешить пользователям или пользователям домена входить в систему на компьютере или в домене, необходимо добавить пользователей или пользователей домена в «Разрешить локальный вход в систему». Пожалуйста, следуйте этим шагам, чтобы добавить пользователей.

1. Запустите gpedit.msc.
2. Разверните Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики
3. Нажмите на Назначение прав пользователя
4. Убедитесь, что «Разрешить вход в систему локально» включает в себя администраторы, резервное копирование
Операторы, Пользователи домена или Пользователи.

Случай 2: групповая политика «Запретить локальный вход в систему» ​​была настроена для запрета пользователей или пользователей домена. Чтобы настройка позволяла пользователям или пользователям домена входить в систему компьютера или домена локально, «Запретить вход в систему локально» должен быть пустым или в списке не должно быть ни пользователей, ни пользователей домена. Выполните следующие действия, чтобы удалить пользователей или пользователей домена из «Запретить локальный вход в систему».

1. Запустите gpedit.msc.
2. Разверните Параметры Windows \ Параметры безопасности \ Локальные политики
3. Нажмите на Назначение прав пользователя
4. Убедитесь, что «Запретить локальный вход в систему» ​​пуст.

Случай 3: локальная групповая политика позволяет пользователю войти в систему. Однако групповая политика домена, которая переопределяет локальную политику, не позволяет пользователям входить в систему локально. Решение состоит в том, чтобы изменить политику домена, чтобы позволить пользователям входить в систему локально.

Случай 4. Политика домена позволяет пользователям домена входить в систему локально, но локальная политика этого не делает, и политика домена не применяется к компьютеру. Исправление запускает gpupdate, чтобы принудительно обновить политику домена.

Случай 5: Norton Firewall блокирует связь между клиентом и контроллером домена. Решением является отключение брандмауэра Norton или его повторная настройка, чтобы разрешить доступ к контроллеру домена.

Источник статьи: http://www.cyberforum.ru/windows-server/thread2483849.html


Adblock
detector