本文協助解決連線到電腦時出現的錯誤:「系統管理員已限制您可能使用的登入類型(網絡或互動式)。」
當您使用遠端桌面通訊協定 (RDP) 連線來連線到電腦時,系統會提示您輸入認證。 不過,會話會在驗證后立即結束,而且您會收到下列錯誤訊息:
系統管理員已限制您可以使用的登入類型(網路或互動式)。
此錯誤表示嘗試的 RDP 連線因為系統本機安全策略或組策略設定中與允許登入類型相關的限制而遭到封鎖。
此外,您也會在事件查看器記錄中收到下列事件或訊息:
- 事件標識碼 4625 的登入失敗是由於登入類型限制。
- 事件標識碼 4005 ,其中包含「Windows 登入程式意外終止」訊息。
此錯誤可能會因為下列原因而發生:
| 原因 | 說明 |
|---|---|
| 使用者缺少 [允許透過遠端桌面服務登入 ] 許可權 | 帳戶不是允許使用 RDP 的群組成員(例如 遠端桌面使用者 或 系統管理員)。 |
| 登入類型的群組原則限制 | 組策略物件 (GPO) 或本機安全策略會拒絕透過 RDP 或網路登入。 |
| 衝突的安全性設定 | 一個原則允許登入,但另一個原則會覆寫它並拒絕它。 |
| RDP 登入被「拒絕」原則拒絕了 | 用戶已明確拒絕登入許可權。 |
| 網路層級驗證(NLA)不相容 | NLA 需要憑證才能建立 RDP 連線會話。 較舊的帳戶或系統可能會失敗。 |
疑難排解步驟
開啟 lusrmgr.msc ,並確定使用者是 遠端桌面用戶的成員。 如果沒有,請使用下列 Cmdlet 將使用者新增至 遠端桌面使用者 群組:
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "DOMAIN\Username"確認用戶權力和群組成員資格。
在本機電腦上:
在 [本機安全策略] 嵌入式管理單元(secpol.msc) 中,移至 [本機政策>使用者權限指派]:
請確定在下列政策中包含使用者或群組:
- 從網路存取這台電腦
- 允許本機登入
- 允許透過遠端桌面服務登入
確保使用者或群組未包含在下列策略中:
- 拒絕從網路存取這台電腦
- 拒絕本機登入
- 拒絕透過遠端桌面服務登入
在域控制器上(如果系統已加入網域):
開啟組策略管理主控台並編輯 預設域控制器原則。
移至 [計算機設定>原則>] [Windows 設定>安全性設定>] [本機>原則] [用戶權力指派],並確認與上一個步驟中所列的設定相同。
開啟 Active Directory 使用者和電腦嵌入式管理單元:
- 確定使用者或群組是 遠端桌面用戶的成員。
- 確認群組原則繼承會如預期般套用。
檢查有效的組策略。 執行下列命令,以產生具有原則結果集資訊的報告:
gpresult /h report.html開啟報告,並在 [ 計算機詳細數據] 底下確認相關的登入許可權。
確定 NLA 相容性:
- 使用最新版本的遠端桌面用戶端。
- 在遠端電腦上啟用 NLA。
- 使用有效憑證來設定用戶帳戶,因為 NLA 在建立連線之前需要身份驗證。
如有必要,請使用下列 Cmdlet 暫時停用 NLA:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "UserAuthentication" -Value 0使用下列命令重新啟動系統或更新組策略設定:
gpupdate /force