Fehler Zugriff verweigert in Runbook Designer beim Herstellen einer Verbindung mit dem Verwaltungsserver

Dieser Artikel hilft bei der Behebung eines Fehlers vom Typ "Zugriff verweigert", der auftritt, wenn Sie versuchen, mithilfe der Anwendung Runbook Designer eine Verbindung mit dem System Center 2012 Orchestrator-Verwaltungsserver herzustellen.

Ursprüngliche Produktversion: Microsoft System Center 2012 Orchestrator
Ursprüngliche KB-Nummer: 2779526

Symptome

Wenn Sie versuchen, mithilfe der Anwendung Runbook Designer eine Verbindung mit Ihrem System Center 2012 Orchestrator-Verwaltungsserver herzustellen, wird der folgende Fehler zurückgegeben:

Verbindungsfehler
„Access Denied. Wenn Sie die lokale Administratorgruppe zum Verwalten von Berechtigungen verwenden, müssen Sie möglicherweise das Runbook Designer mit Als Administrator ausführen starten.

Ursache

Dieses Problem kann auftreten, wenn das Benutzerkonto, das die Runbook Designer Anwendung startet, nicht über ausreichende Berechtigungen verfügt, um von einem Remotecomputer aus auf den DCOM-Server (Omanagement Distributed COM) auf dem Verwaltungsservercomputer zuzugreifen, diesen zu starten und zu aktivieren.

Lösung

Benutzern das Herstellen einer Verbindung mit dem System Center Orchestrator-Verwaltungsserver mithilfe der Anwendung Runbook Designer besteht aus zwei Autorisierungsebenen. Die erste Ebene, auf der dieser Fehler auftritt, ist die Möglichkeit, auf den DCOM-Server namens omanagement zuzugreifen und dann zu starten und zu aktivieren. Während der Installation wird eine Gruppe, die als Orchestrator-Benutzergruppe bezeichnet wird, ausgewählt oder erstellt und die Berechtigungen zum Herstellen einer Remoteverbindung mit dem omanagement DCOM-Server erteilt, ohne dass eine Mitgliedschaft in der lokalen Administratorgruppe auf dem Verwaltungsserver erforderlich ist.

Um zusätzlichen Benutzern die gleiche Autorisierung für den Remotezugriff, den Start und die Aktivierung des omanagement DCOM-Servers zu ermöglichen, müssen wir diese Benutzer entweder direkt oder indirekt über die Gruppenmitgliedschaft zur DCOM-Sicherheitsstruktur hinzufügen. Es wird empfohlen, eine Active Directory-basierte Sicherheitsgruppe hinzuzufügen, anstatt Benutzer direkt zu verwenden, damit der DCOM-Dienst nicht jedes Mal neu gestartet werden muss, wenn ein Benutzer hinzugefügt oder aus der Autorisierung entfernt werden soll.

Befolgen Sie die folgenden Anweisungen, um weitere Benutzer oder Sicherheitsgruppen hinzuzufügen, die für den Remotezugriff, den Start und die Aktivierung des omanagement DCOM-Servers autorisiert werden sollen:

1. Starten dcomcnfg Sie auf dem System Center Orchestrator-Verwaltungsserver, um das Applet Komponentendienste zu öffnen.
2. Erweitern Sie Komponentendienste>Computer>Mein Computer.
3. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Eigenschaften.
4. Wählen Sie die Registerkarte COM-Sicherheit aus.
5. Wählen Sie unter Zugriffsberechtigungen die Option Grenzwerte bearbeiten aus.
6. Wählen Sie Hinzufügen aus, geben Sie Details der gewünschten lokalen oder Active Directory-basierten Sicherheitsgruppe ein, und klicken Sie dann auf OK.
7. Klicken Sie auf den neuen Eintrag, aktivieren Sie das Kontrollkästchen Zulassen für jede Berechtigung, und klicken Sie dann auf OK.
8. Wählen Sie unter Start- und Aktivierungsberechtigungen die Option Grenzwerte bearbeiten aus.
9. Wählen Sie Hinzufügen aus, geben Sie Details der gewünschten lokalen oder Active Directory-basierten Sicherheitsgruppe ein, und klicken Sie dann auf OK.
10. Klicken Sie auf den neuen Eintrag, aktivieren Sie das Kontrollkästchen Zulassen für jede Berechtigung, und klicken Sie dann auf OK.
11. Klicken Sie auf OK , um das Dialogfeld Eigenschaften des eigenen Computers zu schließen.
12. Erweitern Sie Arbeitsplatz, und wählen Sie dann DCOM-Konfiguration aus.
13. Suchen Sie omanagement, klicken Sie mit der rechten Maustaste, und wählen Sie Eigenschaften aus.
14. Klicken Sie auf die Registerkarte Sicherheit.
15. Wählen Sie unter Start- und Aktivierungsberechtigungendie Option Bearbeiten aus.
16. Wählen Sie Hinzufügen aus, geben Sie Details der gewünschten lokalen oder Active Directory-basierten Sicherheitsgruppe ein, und klicken Sie dann auf OK.
17. Klicken Sie auf den neuen Eintrag, aktivieren Sie das Kontrollkästchen Zulassen für jede Berechtigung, und klicken Sie dann auf OK.
18. Wählen Sie unter Zugriffsberechtigungen die Option Bearbeiten aus.
19. Wählen Sie Hinzufügen aus, geben Sie Details der gewünschten lokalen oder Active Directory-basierten Sicherheitsgruppe ein, und klicken Sie dann auf OK.
20. Klicken Sie auf den neuen Eintrag, aktivieren Sie das Kontrollkästchen Zulassen für jede Berechtigung, und klicken Sie dann auf OK.
21. Klicken Sie auf OK, um die Änderungen zu speichern.
22. Schließen Sie das Applet Komponentendienste .
23. Öffnen Sie eine Eingabeaufforderung.
24. Geben Sie ein sc stop omanagement , und drücken Sie die EINGABETASTE.
25. Geben Sie ein sc start omanagement , und drücken Sie die EINGABETASTE.

Nachdem der Orchestrator-Verwaltungsdienst (omanagement) neu gestartet wurde, können direkte Benutzer und Mitglieder hinzugefügter Sicherheitsgruppen mithilfe des Runbook-Designer erfolgreich eine Verbindung mit dem System Center Orchestrator-Verwaltungsserver herstellen.

Weitere Informationen

Zusätzlich zur DCOM-Serverautorisierung muss das Benutzerkonto über direkte oder indirekte Berechtigungen verfügen, die innerhalb des Runbook-Designer für die verschiedenen Komponenten gewährt werden. Wenn der Benutzer nicht mindestens über Leseberechtigungen für den Knoten Runbooks im Navigationsbereich von Runbook Designer verfügt, erhält er eine andere Fehlermeldung, die als dieses Problem fehlinterpretiert werden könnte, da dies der Standardknoten ist, zu dem Runbook Designer den Benutzer bei erfolgreicher Verbindung mit dem Verwaltungsserver führt. Diese Fehlermeldung wird wie folgt angezeigt:

Allgemeiner Fehler
Ein allgemeiner Fehler ist aufgetreten. Der zurückgegebene Fehler lautete:
Der Zugriff wurde verweigert. (80070005)