Удаленный рабочий стол windows 10 ограничение для учетной записи

When you try to connect to a computer remotely via RDP (Remote Desktop Connection), there is a very common error message that you might see: “A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.” This guide will explain what this error actually means, and show you how to get around it.

Also see: Windows 11 Remote Desktop “An authentication error has occurred”

Remote Desktop A user account restriction time-of-day restriction preventing logging in

How to fix the “A user account restriction” error in Remote Desktop

Set up a password for the user account

Trying to connect to an account without a password is a common reason you might see the RDP error about user account restrictions. RDP usually won’t let you connect if the account has no password.

  1. Press the Windows key or click on the Start button.
  2. Type “Computer Management” and select it from the results to open.
    Open Computer Management Windows 11

  3. In the Computer Management window, go to the System Tools tab.
  4. Click on Local Users and Groups, then select Users.
  5. Find the user account you want to set a password for, right-click it, and choose Set Password.
    Fixing A user account restriction error in Remote Desktop

  6. After reading the warning, click Proceed, then type the new password, confirm it, and click OK.

Related resource: Disable Network Level Authentication in Windows 11 or 10

Allow blank passwords for Remote Desktop Connection

If you need to let RDP connect to accounts with no passwords, you can turn off the blank password block. You can do this in the Local Group Policy Editor or the Registry Editor. But be careful, this makes your system less secure.

Using local group policy editor

  1. Press Windows + R, type gpedit.msc, and press Enter to open the Local Group Policy Editor.
    Open group policy editor via Run command in Windows 11

  2. Go to Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options.
  3. Find the policy named “Accounts: Limit local account use of blank passwords to console logon only” and double-click on it.
  4. Change the setting to Disabled.
    Allow Blank Passwords for Remote Desktop Connection

  5. Click OK and close the Local Group Policy Editor.
  6. To apply the changes right away, open Command Prompt and type gpupdate /force and press Enter.

Using registry editor

  1. Press Windows + R, type regedit, and press Enter to open the Registry Editor.
    Open Registry Editor

  2. Go to HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > Lsa.
  3. Look for the DWORD named LimitBlankPasswordUse. If it’s not there, right-click, select New, then DWORD (32-bit) Value, and name it LimitBlankPasswordUse.
  4. Double-click on LimitBlankPasswordUse and set its value to 0.
    Limit Blank Password Windows 11 Remote Desktop

  5. Close the Registry Editor and restart your computer for the changes to take effect.

Note: You should create a system restore point or backup your registry before making any changes. Changing the registry incorrectly can cause issues as serious as bricking your entire PC.

Pro tip: How to Open an RDP Connection via CMD in Windows 11

Time-of-day restrictions

Sometimes, administrators set time-of-day restrictions to limit when certain users can log into the system. If you’re trying to access the system outside these allowed hours, you’ll run into the “A user account restriction” RDP error. The option to set login hours is mainly available for domain user accounts through Active Directory Users and Computers on a domain controller.

How to check and change login hours

  1. Open Active Directory Users and Computers.
  2. Find the user’s account, right-click, and select Properties.
  3. Go to the Account tab and click on Logon Hours to see or change the allowed times.

A user account restriction time-of-day restriction RDP

Account is locked out

If you try logging in too many times and fail, the account might get locked out for safety purpose.

How to deal with account lockout

On the Remote Computer:

  1. Press Windows + R, type lusrmgr.msc, and press Enter to open Local Users and Groups.
  2. Click on Users, then double-click on the account you’re concerned about.
  3. Make sure the Account is locked out option is unchecked.
    Account is locked out Windows 11

On a Domain Controller:

  1. Open Active Directory Users and Computers.
  2. Find and right-click on the user’s account, then choose Properties.
  3. Go to the Account tab and make sure the Account is locked out option is unchecked.

Related guide: How to Remote Desktop Over The Internet in Windows 11

Group policy restrictions

There might be Group Policy settings that are stopping RDP access either for the user or the machine.

  1. Open gpedit.msc to get into the Local Group Policy Editor.
  2. Go to Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.
  3. Look for policies like “Deny log on through Remote Desktop Services” to make sure the user isn’t listed there.
    Deny log on through Remote Desktop Services Windows 11

  4. If the user is listed, remove them to allow RDP access.
    A user account restriction is preventing you from logging in

Rules that require complex passwords

Windows might have rules that require strong passwords. If your account’s password doesn’t meet these rules, you might not be able to use RDP.

Check the password policies

  1. Press Windows + R, type gpedit.msc, and press Enter to open the Local Group Policy Editor.
  2. Go to Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy.
  3. Look at the policies, especially “Password must meet complexity requirements.” If it’s turned on, passwords need to include uppercase and lowercase letters, numbers, and special symbols.
    Windows 11 Remote Desktop Password must meet complexity requirements

  • Home
  • News
  • How to Fix User Account Restriction Is Preventing from Logging on

By Andrea | Follow |
Last Updated

Remote desktop is widely used for convenient file sharing and modifying on a remote computer. However, some people fail to log in coming with an error message: a user account restriction is preventing you from logging on. How to fix this problem? This MiniTool post shows you some workarounds to solve it.

The error, a user account restriction is preventing you from logging on, is common when you try to access the remote desktop. Here is a real case:

Hello, I’m trying to connect to my computer ( Windows 10 ) from macros using Microsoft remote desktop but :
1) it asks me for a User Account ( Username & Password ). Should I type the user that I use on Windows? or is it a special account? 2) When I use the name of the user that I use for Windows, it gives me an error, saying: We couldn’t connect to the remote PC because a user account restriction is preventing you from signing in. Contact your network administrator for assistance. Error code: 0xc07
I’d be obliged if you would help me in this case. – LovesSorrowanswers.microsoft.com

Tips:

If you can’t find files that are transferred from one computer to another, you can try MiniTool Power Data Recovery Free, developed by MiniTool Software, to try to recover them. This file recovery service contains features like Filter, Type, and Search to help you find files. For specific steps to recover files, you can read this post: Excel File Recovery: Excel Files Disappeared After Saving.

MiniTool Power Data Recovery FreeClick to Download100%Clean & Safe

See, the error that you can’t log into the remote desktop is not a rare problem, but you can tackle this problem easily with the following two methods.

Fix 1: Disable the Restrict Delegation of Credentials Policy

Account restrictions are preventing this user from signing in usually because of the restrictions caused by policies. You can disable the corresponding policy to try to get rid of this error.

Step 1: Press Win + R to open the Run window.

Step 2: Type gpedit.msc into the text box and hit Enter to open the Local Group Policy Editor window.

Step 3: Navigate to Computer Configuration > Administrative Templates > System > Credentials Delegation. On the right pane, you need to choose Restrict delegation of credentials to remote servers.

select the Restrict delegation of credentials policy

Step 4: Double-click on the policy and opt for Disabled.

Step 5: Click Apply and OK to apply the change.

Fix 2: Disable Local Account Use of Blank Password Policy

If you access the remote desktop with an account that doesn’t have a password, you may also receive the error message: A user account restriction is preventing you from logging on. In this case, you can disable the account limit to see whether your problem is resolved.

Step 1: Press Win + R to open the Run window.

Step 2: Type secpol.msc and hit Enter to open the Local Security Policy window.

Step 3: Head to Local Policies > Security Options, then find and select the Accounts: Limit local account use of blank passwords to console logon only policy.

find the Accounts: local account policy

Step 4: Double-click to open this policy and choose Disabled from the prompt window. Click Apply > OK in sequence to save and apply the change.

After trying the above steps, you can try to access the remote desktop to see if you can log in successfully.

Bottom Line

It is not a tricky error that a user account restriction is preventing you from logging on. Many people handle this problem with the help of the above methods. Additionally, if you have lost important files, you can try MiniTool Power Data Recovery. The free edition gives 1GB of file recovery capacity for free.

MiniTool Power Data Recovery FreeClick to Download100%Clean & Safe

Hope you can get useful information from this post.

About The Author

Position: Columnist

Andrea graduated in English and has a keen interest in the IT industry and questions that arise when computers are used. She is passionate about new things and challenging things and has a wide range of interests like playing guitar, gaming, and crafting.

Accounts: Limit local account use of blank passwords to console logon only

Windows problem

Если так получилось, что на учётной записи не установлен пароль, а надо подключиться, то Windows по умолчанию не захочет делать таких действий. Тогда нужно:

  1. Зайти в меню «Удалённый рабочий стол» и включить его как возможность. Внизу можно задать имя ПК. В параметрах хорошо бы еще указать сетевое обнаружение.
  2. Находим через пуск «Локальная политика безопасности» и разрешаем использование пустых паролей.

1 пункт

пункт 2

Использование локальных учетных записей (в том числе локального администратора) для доступа по сети в средах Active Directory нежелательно по ряду причин. Зачастую на многих компьютерах используются одинаковые имя и пароль локального администратора, что может поставить под угрозу множество систем при компрометации одного компьютера (угроза атаки Pass-the-hash). Кроме того, доступ под локальными учетными записями по сети трудно персонифицировать и централизованно отследить, т.к. подобные события не регистрируются на контроллерах домена AD.

Для снижения рисков, администраторы могут изменить имя стандартной локальной учетной записи администратора Windows (Administrator). Для регулярной смены пароля локального администратора на всех компьютерах в домене можно использовать MS LAPS (Local Administrator Password Solution). Но этими решениями не удастся решить проблему ограничения сетевого доступа под локальными учетными записями, т.к. на компьютерах может быть больше одной локальной учетки.

Ограничить сетевой доступ для локальных учетных записей можно с помощью политики Deny access to this computer from the network. Но проблема в том, что в данной политике придется явно перечислить все имена учетных записей, которым нужно запретить сетевой доступ к компьютеру.

В Windows 8.1 and Windows Server 2012 R2 появилась две новые группы безопасности (Well-known group) с известными SID. Одна включает в себя всех локальных пользователей, а вторая всех локальных администраторов.

S-1-5-113 NT AUTHORITY\Local account Все локальные учетная запись
S-1-5-114 NT AUTHORITY\Local account and member of Administrators group Все локальные учетные записи с правами администратора

Теперь для ограничения доступа локальным учетным записям не нужно перечислять все возможные варианты SID локальных учёток, а использовать их общий SID.

Данные группы добавляются в токен доступа пользователя при входе в систему под локальной учетной записью.

Чтобы убедится, что в Windows 10/Windows Server 2016 локальной учетной записи присвоены две новый группы
NT AUTHORITY\Local account (SID S-1-5-113)
и
NT AUTHORITY\Local account and member of Administrators group (SID S-1-5-114)
, выполните команду:

whoami /all

whoami /all - новые локальные well known группы безопасности с S-1-5-113 и S-1-5-114

Эти встроенные группы безопасности можно исопльзовать и в Windows 7, Windows 8, Windows Server 2008 R2 и Windows Server 2012, установив обновление KB 2871997 ( обновление от июня 2014 г.).

Проверить, имеются ли данные группы безопасности в вашей Windows можно по их SID так:

$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-113")
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value


Если скрипт возвращает NT Authority\Local account, значит данная локальная группа (с этим SID) имеется.

Чтобы запретить сетевой доступ под локальным учетным записями, с этими SID-ами в токене, можно воспользоваться политиками из раздела GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.

Запрет на вход через RDP для локальных пользователей и администратора

Политика Deny log on through Remote Desktop Services (Запретить вход в систему через службу с удаленного рабочего стола) позволяет указать пользователей и группы, которым явно запрещен удаленный вход на компьютер через RDP. Вы можете запретить RDP доступ к компьютеру для локальных или доменных учетных записей.

По умолчанию RDP доступ в Windows разрешён администраторам и членам локальной группы Remote Desktop Users.

Если вы хотите запретить RDP подключения только локальных пользователей (в том числе локальных администраторов), откройте локальной редактор GPO gpedit.msc (если вы хотите применить эти настройка на компьютерах в домене AD, используйте редактор доменных политик –
gpmc.msc
). Перейдите в указанную выше секцию GPO и отредактируйте политику Deny log on through Remote Desktop Services.

Добавьте в политику встроенные локальные группу безопасности Local account and member of Administrators group и Local account. Обновите настройки локальных политик с помощью команды: gpupdate /force.

политика Запретить вход в систему через службу с удаленного рабочего стола

Запрещающая политика имеет приоритет над политикой Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов). Если пользователь или группа будет добавлен в обоих политиках, RDP доступ для него будет запрещен.

Теперь, если вы попытаетесь подключиться к компьютеру по RDP, появится ошибка:

To sign in remotely, you need the right to sign in through Remote Desktop Services. By default, members of the Remote Desktop Users group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from the Remote Desktop Users group, you need to be granted this right manually.

Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов windows 10 ошибка

Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов. По умолчанию такое право имеют члены группы Администраторы. Если у вашей группы нет этого права или оно было удалено для группы Администраторы, попросите предоставить его вам вручную.

Запрет сетевого доступа к компьютеру по сети

Вы можете запретить сетевой доступ к компьютеру под локальными учетными данными с помощью политики Deny access to this computer from the network (Отказать в доступе к этому компьютеру из сети).

Добавьте в политику Deny access to this computer from the network локальные группы Local account и Local account and member of Administrators group. Также стоит всегда запрещать анонимный доступ и доступ под гостевым аккаунтом.

Для доменной среды рекомендуется с помощью этой политики полностью запретить доступ к рабочим станциям и рядовым серверам домена под учетными записями из групп Domain Admins и Enterprise Administrators. Эти аккаунты должны использоваться только для доступа к контроллерам доменам. Тем самым вы уменьшите риски перехвата хэша административных аккаунтов и эскалации привилегий.

групповая политика Отказать в доступе к этому компьютеру из сети

После применения политики вы не сможете удаленно подключиться к этому компьютеру по сети под любой локальной учетной записью. При попытке подключиться к сетевой папке или подключить сетевой диск с этого компьютера под локальной учетной записью, появится ошибка:

Microsoft Windows Network: Logon failure: the user has not been granted the requested logon type at this computers.

При попытке установить RDP сессию под учетной записью локального администратора (.\administrator) появится сообщение об ошибке.

The system administrator has restricted the types of logon (network or interactive) that you may use. For assistance, contact your system administrator or technical support.

The system administrator has restricted the types of logon (network or interactive) that you may use.

Системный администратор ограничил типы входа в систему (сетевой или интерактивный), которые можно использовать. Обратитесь за помощью к системному администратору или в службу технической поддержки.

Системный администратор ограничил типы входа в систему (сетевой или интерактивный), которые можно использовать.

Важно. Если вы примените эту политику к компьютеру, который находится в рабочей группе (не присоединен к домену Active Directory), вы сможете войти на такой компьютер только локально.

Запретить локальный вход в Windows

С помощью политики Deny log on locally (Запретить локальных вход) вы можете запретить и интерактивный вход на компьютер/сервер под локальными учетными записями. Перейдите в секцию GPO User Rights Assignment, отредактируйте политику Deny log on locally. Добавьте в нее нужную локальную группу безопасности.

Будьте особо внимательны с запрещающими политиками. При некорректной настройке, вы можете потерять доступ к компьютерам. В крайнем случае сбросить настройки локальной GPO можно так.

GPO Запретить локальных вход под локальными учетными записями

Теперь, если пользователь или администратор попытается авторизоваться на компьютере под локальной учетной записью, появится сообщение.

The sign-in method you are trying to use isn’t allowed. For more info, contact your network administrator.

Этот метод входа запрещено использовать

Этот метод входа запрещено использовать. Для получения дополнительных сведений обратитесь к администратору своей сети.

Таким образом, вы можете ограничить доступ под локальными учетными записями на компьютеры и сервера домена, увеличить защищенность корпоративной сети.

Удаленный рабочий стол – это один из самых простых способов удаленного решения проблем на компьютере, но, похоже, у этой функции есть некоторые проблемы в Windows 10.

Пользователи сообщали об ошибке Удаленное соединение было отказано в Windows 10, поэтому давайте посмотрим, как это исправить.

Содержание .

    • Исправлено: удаленное подключение было отклонено, поскольку учетная запись пользователя не авторизована для удаленного входа
      1. Изменить настройки пульта
      2. Изменить параметры локальной политики безопасности
      3. Удалить локальный и перемещаемый профиль
      4. Установите для входа службы удаленных рабочих столов значение Сетевая служба
      5. Измените свой реестр
      6. Воссоздать доменные сертификаты
      7. Создать новый DWORD
      8. Выровняйте MaxTokenSize для сервера
      9. Добавить пользователей домена вместо пользователей удаленного рабочего стола
    • Исправлено – удаленному соединению было отказано из-за комбинации имени пользователя и пароля
      1. Включите CHAP и CHAPv2
      2. Используйте команду rasphone
      3. Создать NTLMv2 совместимость DWORD

    Удаленное подключение было отклонено, поскольку учетная запись пользователя не авторизована для удаленного входа [FIX]

    Решение 1. Изменить настройки пульта

    По словам пользователей, они не могут запустить сеанс Remote Destkop из-за этой ошибки, поэтому для решения этой проблемы вам необходимо проверить настройки Remote на вашем хост-компьютере. Для этого выполните следующие действия:

    1. Нажмите Windows Key + S и войдите в систему. Выберите в меню Система .
    2. Выберите Удаленные настройки на левой панели.

    3. Убедитесь, что выбран параметр Разрешить удаленные подключения к этому компьютеру , и нажмите Выбрать пользователей .

    4. Нажмите кнопку Добавить .
    5. Введите имя пользователя в Введите имена объектов для выбора и нажмите Проверить имена . Обязательно введите имя компьютера перед именем пользователя, например: COMPUTERNAMEusername .

    6. Сохраните изменения и попробуйте снова использовать Remote Desktop.

    Если у вас есть группа «Пользователи удаленного рабочего стола», обязательно добавьте ее, выполнив действия, описанные выше.

    Решение 2. Изменить параметры локальной политики безопасности

    Иногда вы можете получить сообщение об ошибке Удаленное соединение было отказано , если настройки локальной политики безопасности неверны. Чтобы решить эту проблему, вам нужно отредактировать локальную политику безопасности, выполнив следующие действия:

    1. Нажмите Windows Key + R и введите secpol.msc . Нажмите ОК или нажмите Enter , чтобы запустить его.
    2. Когда откроется окно Локальная политика безопасности , перейдите в Локальные политики> Назначение прав пользователя в левой панели.
    3. На правой панели найдите Разрешить вход в систему через службы удаленных рабочих столов и дважды щелкните его.

    4. Нажмите кнопку Добавить пользователя или группу .

    5. Введите имя пользователя или имя группы в поле . Введите имена объектов для выбора и нажмите кнопку Проверить имена . Если введенные данные верны, нажмите ОК , чтобы сохранить изменения. Если у вас есть группа служб удаленных рабочих столов, обязательно добавьте ее.
    • ЧИТАЙТЕ ТАКЖЕ: Исправлено: удаленный рабочий стол не подключается в Windows 10

    Решение 3. Удалите локальный и перемещаемый профиль .

    Немногие пользователи утверждают, что вы можете решить эту проблему, удалив локальный и перемещаемый профиль. Мы не знаем, работает ли это решение, но вы можете попробовать его.

    Решение 4. Установите для входа службы удаленных рабочих столов значение «Сетевая служба» .

    Пользователи сообщали, что ошибка Удаленное подключение было отклонено появляется, если для входа службы удаленных рабочих столов установлено значение «Локальная система». Чтобы изменить это, выполните следующие действия:

    1. Нажмите Windows Key + R и введите services.msc . Нажмите Enter или ОК.
    2. Когда откроется окно Службы , найдите Службы удаленных рабочих столов и дважды щелкните его.

    3. Когда откроется окно Свойства , перейдите на вкладку Вход в систему и убедитесь, что Локальная системная учетная записьне выбрана . ,

    4. После выбора службы сети нажмите Применить и ОК , чтобы сохранить изменения.

    После изменения входа службы удаленных рабочих столов в службу сети, проблема должна быть полностью решена.

    Решение 5 – измените свой реестр

    Одним из предложенных пользователями решений является редактирование вашего реестра. Чтобы решить эту проблему, вам нужно предоставить определенные разрешения группе пользователей. Прежде чем мы начнем, мы должны упомянуть, что редактирование вашего реестра может вызвать определенные проблемы, поэтому вы можете создать резервную копию вашего реестра на всякий случай. Чтобы отредактировать реестр, сделайте следующее:

    1. Нажмите Windows Key + R и введите regedit. Нажмите Ввод или нажмите ОК.
    2. Перейдите к клавише HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon на левой панели, щелкните правой кнопкой мыши и выберите Разрешения.

    3. В разделе Группы или имена пользователей выберите Пользователи. Убедитесь, что группе Пользователи присвоено разрешение Чтение , установленное на Разрешить . После установки разрешений на чтение на Разрешить нажмите Применить и ОК , чтобы сохранить изменения.

    Решение 6 – воссоздать доменные сертификаты

    После небольшого исследования немногие пользователи обнаружили, что их сервер входа в систему предупреждает их о событии 29, и именно это предупреждение стало причиной этой проблемы. Чтобы устранить эту проблему, вам необходимо заново создать доменные сертификаты, выполнив следующие действия:

    1. На главном контроллере домена нажмите Ключ Windows + R . Введите mmc.exe и нажмите Enter , чтобы запустить его.
    2. Перейдите в Файл> Добавить/удалить оснастку .

    3. Выберите Сертификаты и нажмите кнопку Добавить .

    4. Выберите Аккаунт компьютера и нажмите Далее.

    5. Теперь нажмите кнопку Готово .

    6. Нажмите кнопку ОК .

    7. Перейдите на страницу Сертификаты (локальный компьютер)> Личные> Сертификаты .
    8. Найдите старый сертификат контроллера домена, щелкните его правой кнопкой мыши и выберите Удалить. Нажмите Да , чтобы подтвердить, что вы хотите удалить сертификат.
    • ЧИТАЙТЕ ТАКЖЕ: Исправлено: удаленный сеанс был отключен, клиентские лицензии на доступ к удаленному рабочему столу недоступны

    После удаления сертификата вам необходимо запросить новый, выполнив следующие действия:

    1. Разверните Сертификаты (локальный компьютер) и щелкните правой кнопкой мыши Личные. Выберите Все задачи> Запросить новый сертификат .

    2. Следуйте инструкциям мастера, чтобы запросить новый сертификат.

    Наконец, вам просто нужно проверить сертификат. Для выполнения этого шага вы должны быть членом группы администраторов домена или иметь соответствующие привилегии, назначенные вашей учетной записи вашим администратором. Чтобы проверить Kerberos Key Distribution Center (KDC), выполните следующие действия:

    1. Откройте Командную строку от имени администратора. Для этого нажмите Ключ Windows + X и выберите в меню Командная строка (Администратор) .
    2. Когда откроется командная строка, введите certutil -dcinfo verify и нажмите Enter , чтобы запустить ее.

    Если процедура прошла успешно, перезагрузите контроллер домена и сервер, к которому вы пытаетесь подключиться, и проблема должна быть решена.

    Решение 7. Создайте новый DWORD .

    По словам пользователей, вы можете решить эту проблему, создав новый DWORD в реестре. Для этого выполните следующие действия:

    1. Запустите редактор реестра.
    2. В левой панели перейдите к ключу HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server .
    3. На правой панели щелкните правой кнопкой мыши пустое место и выберите Создать> Значение DWORD (32-разрядное) .

    4. Введите IgnoreRegUserConfigErrors в качестве имени нового DWORD и дважды щелкните его, чтобы открыть его свойства.
    5. Когда откроется окно свойств, установите для Значения данных значение 1 . Нажмите ОК , чтобы сохранить изменения.

    Решение 8. Настройте MaxTokenSize для сервера .

    По словам пользователей, вы должны иметь возможность подключиться к серверу с помощью команды mstsc.exe/admin . После этого вам нужно настроить MaxTokenSize для этого сервера, и это должно решить проблему.

    Решение 9. Добавьте пользователей домена вместо пользователей удаленного рабочего стола

    Пользователи сообщали об ошибке Удаленное соединение было отказано на их ПК при попытке использовать функцию удаленного рабочего стола, и, по их мнению, по какой-то странной причине они не смогли добавить пользователей удаленного рабочего стола. Чтобы обойти эту проблему, предлагается добавить пользователей домена вместо пользователей удаленного рабочего стола. После этого эта ошибка должна быть исправлена.

    • ЧИТАЙТЕ ТАКЖЕ: Исправлено: удаленный рабочий стол перестает работать в Windows 8.1, Windows 10

    Исправлено – «Удаленное соединение было отклонено из-за комбинации имени пользователя и пароля» Windows 10

    Решение 1. Включите CHAP и CHAPv2 .

    Пользователи сообщали об этой проблеме, пытаясь использовать VPN, и для ее устранения вам нужно включить CHAP и CHAPv2. По умолчанию Windows 10 отключает эти функции, поэтому вам необходимо включить их. Для этого просто найдите свою VPN-сеть, щелкните ее правой кнопкой мыши и выберите в меню Свойства . Перейдите на вкладку Безопасность и убедитесь, что вы выбрали Microsoft Chap Version 2 (MS-CHAP v2) . После этого нажмите Применить и ОК , чтобы сохранить изменения.

    Решение 2. Используйте команду rasphone

    Вы можете быстро подключиться к вашей VPN с помощью команды rasdial , но иногда вы можете получить ошибку Удаленное соединение было отклонено при использовании этой команды. Чтобы обойти эту проблему, пользователи предлагают вместо этого использовать команду rasphone. Чтобы использовать его, просто запустите инструмент командной строки, введите rasphone -d «Имя вашего VPN-подключения» и нажмите Enter.

    Решение 3. Создание DWORD совместимости NTLMv2

    Вы должны быть в состоянии решить эту проблему, добавив определенный DWORD в реестр. Для этого выполните следующие действия:

    1. Запустите Редактор реестра и перейдите к ключу HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteAccessPolicy на левой панели.
    2. На правой панели щелкните правой кнопкой мыши пустое место и выберите Создать> Значение DWORD (32-разрядное) . Введите NTLMv2-совместимость в качестве имени нового DWORD.

    3. Дважды нажмите NTLMv2-совместимость DWORD, чтобы открыть его свойства.
    4. Когда откроется окно Свойства , введите 1 в поле Значение данных и нажмите ОК , чтобы сохранить изменения.

    5. Закройте Редактор реестра .

    Удаленное соединение было отклонено . Ошибка может помешать вам использовать удаленный рабочий стол или VPN, но мы надеемся, что вам удалось решить эту проблему с помощью одного из наших решений.

    Столкнулся со следующей проблемой: в компании порядка 15 серверов, проверяю подключение к ним по RDP и вот к паре из них не могу подключиться, получаю ошибку «Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему».

    При этом на всех серверах, на первый взгляд, настроено всё абсолютно одинаково (работаю здесь всего пару дней). Проверил и локальные группы на серверах, и групповые политики, и настройку удалённых подключений. Везде всё одинаково, но вот на паре серверов вход не удаётся произвести, на остальных всё работает в штатном режиме. В журналах никаких ошибок не наблюдается.

    Подскажите, куда можно копнуть, пересмотрел достаточно тем здесь на форуме и ни в одной не нашёл подходящего решения. Может быть, нужна какая-то дополнительная информация по проблеме?

    Заранее благодарю Вас за помощь!

    • Изменено moskos 25 ноября 2014 г. 13:01 Орфографические ошибки

    Ответы

    В разрешения на подключение вас прописали индивидуально. А в политику — кажется, нет.

    Есть одно подозрение: у вас в билете Kerberos застряло устаревшее членство в группах.

    Для проверки можно попробовать подключится к удаленному рабочему столу не по имени сервера, а по его IP ( в этом случае заведомо будет использоваться NTLM и терминальный сервер запросит аутентификацию на КД — а там членство в группах должно быть «свежим»).

    PS И всё-таки: предлагаю удостовериться, что на проблемных серверах таки включен аудит неудачных попыток входа: попробуйте, например, подключиться к нему как к файловому серверу с явным указанием своего имени пользователя и заведомо неправильного пароля:

    net use \имя_сервера /user:доменлогин неправильный_пароль

    и проконтролируйте потом, что событие неудачного входа появилось в разумный срок (там может быть небольшая задержка).

    • Предложено в качестве ответа Vector BCO 26 ноября 2014 г. 15:15
    • Отменено предложение в качестве ответа moskos 27 ноября 2014 г. 7:28
    • Помечено в качестве ответа moskos 27 ноября 2014 г. 7:28
    • Снята пометка об ответе moskos 28 ноября 2014 г. 9:32
    • Помечено в качестве ответа moskos 28 ноября 2014 г. 10:50

    Все ответы

    Это может быть настроено в нескольких местах

    1 — группа Remote Desktop Users — Если пользователя там нет то и доступ вы не получите

    2 — Локальная политика безопасности

    а) Comp.Conf.Windows Set.Security Set.User Rights Ass.Deny log on through Remote Desktop Services

    б) Comp.Conf.Windows Set.Security Set.User Rights Ass.Allow log on through Remote Desktop Services

    3 — Групповая политика аналогичная локальной (см. п. 2)

    • Предложено в качестве ответа Josef_123 21 мая 2018 г. 6:44

    А ещё — и в разрешениях для подключения (консоль RD Session Host configuration, вкладка Security свойств подключения), там должно быть разрешение для подключения, по умолчанию оно есть, кроме администраторов, у группы «Пользователи удалённого рабочего стола».

    • Изменено M.V.V. _ 25 ноября 2014 г. 15:40

    Так в том-то и дело, что везде всё прописано и не работает.

    И с этим тоже всё в порядке))

    Если есть домен, то доменные политики проверяйте с помощью команды gpresult /h файл.html и просмотра этого файла — тогда увидите все политики и результат их применения (они могут перекрывать локальную).

    Включите аудит неудачных попыток входа: в событиях неудачных попыток может быть полезная дополнительная информация.

    Если есть домен, то доменные политики проверяйте с помощью команды gpresult /h файл.html и просмотра этого файла — тогда увидите все политики и результат их применения (они могут перекрывать локальную).

    Включите аудит неудачных попыток входа: в событиях неудачных попыток может быть полезная дополнительная информация.

    Слава России!

    Аудит включен. Отказов нет никаких. В безопасности появляется три события :

    1. Новому сеансу входа назначены спец. привилегии

    2. Вход с учётной записью выполнен успешно

    3. Выполнен выход учетной записи из системы.

    Какой при этом тип входа в систему? Удаленный рабочий стол — 10.

    Что при этом у вас тут?

    Покажите, всё-таки до кучи, содержимое вкладки Безопасность подключения (см. мой самый первый пост в этой теме).

    Слава России!

    Не вижу там «Пользователей удаленного рабочего стола». Зато есть «Удаленный достпум msk. — как понимаю, это не стандартная группа? И еще — там человечек с замазанным именем: на него случаем не запрет стоит? И не у него ли войти не получается?

    Оно.

    Не вижу там «Пользователей удаленного рабочего стола». Зато есть «Удаленный достпум msk. — как понимаю, это не стандартная группа? И еще — там человечек с замазанным именем: на него случаем не запрет стоит? И не у него ли войти не получается?

    Слава России!

    • Предложено в качестве ответа allgrit 7 мая 2015 г. 16:38

    В разрешения на подключение вас прописали индивидуально. А в политику — кажется, нет.

    Есть одно подозрение: у вас в билете Kerberos застряло устаревшее членство в группах.

    Для проверки можно попробовать подключится к удаленному рабочему столу не по имени сервера, а по его IP ( в этом случае заведомо будет использоваться NTLM и терминальный сервер запросит аутентификацию на КД — а там членство в группах должно быть «свежим»).

    PS И всё-таки: предлагаю удостовериться, что на проблемных серверах таки включен аудит неудачных попыток входа: попробуйте, например, подключиться к нему как к файловому серверу с явным указанием своего имени пользователя и заведомо неправильного пароля:

    net use \имя_сервера /user:доменлогин неправильный_пароль

    и проконтролируйте потом, что событие неудачного входа появилось в разумный срок (там может быть небольшая задержка).

    • Предложено в качестве ответа Vector BCO 26 ноября 2014 г. 15:15
    • Отменено предложение в качестве ответа moskos 27 ноября 2014 г. 7:28
    • Помечено в качестве ответа moskos 27 ноября 2014 г. 7:28
    • Снята пометка об ответе moskos 28 ноября 2014 г. 9:32
    • Помечено в качестве ответа moskos 28 ноября 2014 г. 10:50

    В разрешения на подключение вас прописали индивидуально. А в политику — кажется, нет.

    Есть одно подозрение: у вас в билете Kerberos застряло устаревшее членство в группах.

    Для проверки можно попробовать подключится к удаленному рабочему столу не по имени сервера, а по его IP ( в этом случае заведомо будет использоваться NTLM и терминальный сервер запросит аутентификацию на КД — а там членство в группах должно быть «свежим»).

    PS И всё-таки: предлагаю удостовериться, что на проблемных серверах таки включен аудит неудачных попыток входа: попробуйте, например, подключиться к нему как к файловому серверу с явным указанием своего имени пользователя и заведомо неправильного пароля:

    net use \имя_сервера /user:доменлогин неправильный_пароль

    и проконтролируйте потом, что событие неудачного входа появилось в разумный срок (там может быть небольшая задержка).

    Слава России!

    Да, я Жук, три пары лапок и фасеточные глаза :))

    Цитата: «у вас в билете Kerberos застряло устаревшее членство в группах».

    Да, я Жук, три пары лапок и фасеточные глаза :))

    Ага. Лечение — командой klist purge . Ну, или подождать — дней за десять билеты в кэше всяко устареют.

    PS Если очистка кэша не поможет, проблема может оказаться глубже: в репликации AD, например.

    В таком раскладе потребуются сведения о топологии AD в вашей организации и проверка репликации между партнёрами (командой repadmin, например).

    Исправлено: соединение было отклонено, потому что учетная запись пользователя не авторизована для удаленного входа —

    Ошибка ‘В соединении было отказано, поскольку учетная запись пользователя не авторизована для удаленного входаОбычно возникает, когда учетная запись пользователя, которую вы используете для удаленного подключения к целевой системе, не имеет достаточных разрешений. Эта ошибка также случалась со многими пользователями в прошлом, и кажется, что Windows 10 не является исключением. При попытке установить соединение пользователи сообщают, что им предлагается указанное сообщение об ошибке.

    Соединение было отклонено, поскольку учетная запись пользователя не авторизована для удаленного входа

    Удаленный рабочий стол может использоваться для разных целей, таких как устранение ошибок в целевой системе и т. Д., Однако сама функция имеет ряд ошибок. Чтобы обойти эту конкретную проблему, вы можете следовать решениям, которые мы изложили ниже.

    Что вызывает ошибку «Отказано в соединении, поскольку учетная запись пользователя не авторизована для удаленного входа» в Windows 10?

    Причина ошибки заключается в самом сообщении об ошибке, которое —

    • Недостаточно прав: ошибка появляется, когда у вашей учетной записи пользователя недостаточно прав для установления соединения с целевым хостом.
    • Служба удаленного рабочего стола. В некоторых случаях проблема также может быть в том, что для службы удаленного рабочего стола настроен неверный пользователь.

    С учетом сказанного вы можете справиться с ошибкой, применив следующие обходные пути. Убедитесь, что используете учетную запись администратора при реализации данных решений.

    Решение 1. Создание новой группы безопасности

    Чтобы решить эту проблему, вы можете создать новую группу безопасности, члены которой будут иметь право устанавливать подключение к удаленному рабочему столу. Вот как это сделать:

    1. Нажмите Windows Key + R открыть Бежать.
    2. Введите ‘secpol.msc’И нажмите Enter.
    3. Перейдите к Локальные политики> Назначение прав пользователя.
    4. Из списка политик найдите Разрешить вход через службы удаленных рабочих столов и дважды щелкните по нему.

      Политика локальной безопасности

    5. Если нет Пользователи удаленного рабочего стола группа под Администраторы, следуйте приведенным ниже инструкциям. Если у вас уже есть, перейдите к следующему решению.
    6. Нажмите Добавить пользователя или группу и введите Пользователи удаленного рабочего стола под ‘Введите имена объектов для выбора».

      Создание группы пользователей удаленного рабочего стола

    7. Хит ОК.
    8. Перезагрузите систему, чтобы она вступила в силу, или вы можете просто ввести следующую команду в командной строке с повышенными правами:

    Принудительное обновление групповой политики

    Решение 2. Предоставление доступа к вашей учетной записи

    В некоторых случаях, если учетная запись пользователя, которую вы используете для установки удаленного подключения, не является членом группы «Пользователи удаленного рабочего стола», вам будет предложено указать эту ошибку. В таком случае вам придется добавить его в группу «Пользователи удаленного рабочего стола». Вот как это сделать:

    1. Нажмите Winkey + R открыть Бежать.
    2. Введите lusrmgr.msc и нажмите Войти.
    3. Нажмите на пользователей а затем дважды щелкните свою учетную запись пользователя.
    4. Переключиться на Член Вкладка.

      Группы пользователей

    5. Если нет Пользователи удаленного рабочего стола группа под Администраторы, щелчок добавлять.
    6. Выбрать продвинутый а затем нажмите Найти сейчас.
    7. В списке дважды щелкните Пользователи удаленного рабочего стола а затем нажмите Хорошо.

      Добавление учетной записи пользователя в группу пользователей удаленного рабочего стола

    8. Ваша учетная запись пользователя теперь является членом Пользователь удаленного рабочего стола группа.
    9. Попробуйте установить соединение сейчас.

    Решение 3. Проверка входа в службу удаленных рабочих столов пользователя

    Если ваша служба удаленного рабочего стола использует локальную службу вместо сетевой службы в качестве пользователя для входа, это также может привести к возникновению проблемы. Вы можете исправить это, изменив его на Network Service. Вот как это сделать:

    1. Нажмите Windows Key + R открыть Бежать.
    2. Введите ‘services.msc‘И нажмите Войти.
    3. разместить Служба удаленного рабочего стола и затем дважды щелкните по нему.

      Служба удаленного рабочего стола

    4. Переключиться на Войти в систему Вкладка.
    5. Если Местная служба аккаунт выбран, вам придется его изменить. Нажмите Просматривать.
    6. Выбрать продвинутый а затем нажмите Найти сейчас.
    7. В списке дважды щелкните Сетевой сервис а затем нажмите Хорошо.

      Изменение имени пользователя службы удаленного рабочего стола

    8. Перезапустите сервис щелкнув правой кнопкой мыши сервис и выбрав Запустить снова.
  • Понравилась статья? Поделить с друзьями:
    0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии
  • Windows 10 теперь платный
  • Xerox phaser 3122 driver windows 10
  • Как изменить скорость в windows media player
  • Проверить состояние радиомодуля bluetooth windows 10 не исправлено
  • Windows 7 powered by xtreme ws