次の方法で共有

コンピューターに接続するときに"システム管理者がログオンの種類を制限しました"エラー

この記事は、コンピューターに接続するときに"システム管理者が使用できるログオンの種類 (ネットワークまたは対話型) を制限しました" というエラーを解決するのに役立ちます。

リモート デスクトップ プロトコル (RDP) 接続を使用してコンピューターに接続すると、資格情報の入力を求められます。 ただし、セッションは認証の直後に終了し、次のエラー メッセージが表示されます。

システム管理者は、使用できるログオンの種類 (ネットワークまたは対話型) を制限しています。

このエラーは、許可されたログオンの種類に関連するシステムのローカル セキュリティ ポリシーまたはグループ ポリシー設定の制限により、RDP 接続の試行がブロックされたことを示します。

さらに、イベント ビューアー ログには、次のイベントまたはメッセージも表示されます。

  • ログオンの種類の制限によりログオンエラーが発生したイベント ID 4625
  • "Windows ログオン プロセスが予期せず終了しました" というメッセージが表示されたイベント ID 4005

このエラーは、次の理由で発生する可能性があります。

原因 説明
ユーザーにリモート デスクトップ サービス経由のログオンを許可 する権限がありません このアカウントは、RDP の使用を許可されているグループのメンバーではありません ( リモート デスクトップ ユーザー管理者など)。
ログオンの種類に関するグループ ポリシーの制限 グループ ポリシー オブジェクト (GPO) またはローカル セキュリティ ポリシーは、RDP またはネットワーク経由でのログオンを拒否します。
競合するセキュリティ設定 1 つのポリシーはログオンを許可しますが、別のポリシーはログオンをオーバーライドして拒否します。
"拒否" ポリシーによって拒否された RDP ログオン ユーザーはログオン権限を明示的に拒否されます。
ネットワーク レベル認証 (NLA) 非互換性 NLA では、RDP セッションを確立する前に資格情報が必要です。 古いアカウントまたはシステムが失敗する可能性があります。

トラブルシューティングの手順

  1. lusrmgr.msc を開き、ユーザーがリモート デスクトップ ユーザーのメンバーであることを確認します。 そうでない場合は、次のコマンドレットを使用して 、リモート デスクトップ ユーザー グループにユーザーを追加します。

    Add-LocalGroupMember -Group "Remote Desktop Users" -Member "DOMAIN\Username"

  2. ユーザー権限とグループ メンバーシップを確認します。

    • ローカル コンピューターで次の手順を実行します。

      ローカル セキュリティ ポリシー スナップイン (secpol.msc) で、 ローカル ポリシー>User Rights Assignment に移動します。

      • ユーザーまたはグループが次のポリシーに含まれていることを確認します。

        • ネットワークからこのコンピューターにアクセスする
        • ローカル ログオンを許可
        • リモート デスクトップ サービスを使用したログオンを許可する

      • ユーザーまたはグループが次のポリシーに含まれていないことを確認します。

        • ネットワークからこのコンピューターへのアクセスを拒否
        • ローカルでのログオンを拒否する
        • リモート デスクトップ サービスを使ったログオンを拒否

    • ドメイン コントローラー (システムがドメインに参加している場合):

      • グループ ポリシー管理コンソールを開き、 既定のドメイン コントローラー ポリシーを編集します

        コンピューターの構成>ポリシー>Windows の設定>セキュリティ設定>ローカル ポリシー>ユーザー権利の割り当てに移動し、前の手順で示したのと同じ設定を確認します。

      • Active Directory ユーザーとコンピューター スナップインを開きます。

        • ユーザーまたはグループが リモート デスクトップ ユーザーのメンバーであることを確認します。
        • グループ ポリシーの継承が想定どおりに適用されたことを確認します。

  3. 有効なグループ ポリシーを確認します。 次のコマンドを実行して、ポリシー情報の結果セットを含むレポートを生成します。

    gpresult /h report.html

    レポートを開き、[コンピューターの詳細] で関連するログオン権限 を確認します

  4. NLA の互換性を確認します。

    • 最新バージョンのリモート デスクトップ クライアントを使用します。
    • リモート コンピューターで NLA を有効にします。
    • NLA ではセッションが確立される前に認証が必要であるため、有効な資格情報でユーザー アカウントを構成します。

    必要に応じて、次のコマンドレットを使用して NLA を一時的に無効にします。

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "UserAuthentication" -Value 0

  5. 次のコマンドを使用して、システムを再起動するか、グループ ポリシー設定を更新します。

    gpupdate /force