Fehler beim Verweigerten Zugriff im Runbook-Designer beim Herstellen einer Verbindung mit dem Verwaltungsserver

In diesem Artikel wird ein Fehler vom Typ "Zugriff verweigert " behoben, der auftritt, wenn Sie versuchen, eine Verbindung mit dem System Center 2012 Orchestrator-Verwaltungsserver mithilfe der Runbook Designer-Anwendung herzustellen.

Originalversion des Produkts: Microsoft System Center 2012 Orchestrator
Ursprüngliche KB-Nummer: 2779526

Problembeschreibung

Wenn Sie versuchen, eine Verbindung mit Ihrem System Center 2012 Orchestrator-Verwaltungsserver mithilfe der Runbook Designer-Anwendung herzustellen, wird der folgende Fehler zurückgegeben:

Verbindungsfehler
„Access Denied. Wenn Sie die lokale Administratorgruppe zum Verwalten von Berechtigungen verwenden, müssen Sie möglicherweise den Runbook-Designer mit "Als Administrator ausführen" starten.

Ursache

Dieses Problem kann auftreten, wenn das Benutzerkonto, das die Runbook-Designer-Anwendung startet, nicht über ausreichende Berechtigungen verfügt, um von einem Remotecomputer aus auf den OManagement Distributed COM (DCOM)-Server auf dem Verwaltungsservercomputer zuzugreifen, diesen zu starten und zu aktivieren.

Lösung

Das Zulassen, dass Benutzer mithilfe der Runbook Designer-Anwendung eine Verbindung mit dem System Center Orchestrator-Verwaltungsserver herstellen können, besteht aus zwei Autorisierungsebenen. Die erste Ebene, auf der dieser Fehler auftritt, ist die Möglichkeit, auf den DCOM-Server namens omanagement zuzugreifen, dann zu starten und zu aktivieren. Während der Installation wird eine Gruppe, die als Orchestrator-Benutzergruppe bezeichnet wird, entweder ausgewählt oder erstellt und die Berechtigungen zum Remoteverbindungen mit dem OManagement-DCOM-Server erteilt, ohne dass eine Mitgliedschaft in der lokalen Administratorgruppe auf dem Verwaltungsserver erforderlich ist.

Um weiteren Benutzern die gleiche Autorisierung für den Remotezugriff, den Start und die Aktivierung des OManagement-DCOM-Servers zu ermöglichen, müssen wir diese Benutzer entweder direkt oder indirekt über gruppenmitgliedschaft zur DCOM-Sicherheitsstruktur hinzufügen. Es wird empfohlen, eine Active Directory-basierte Sicherheitsgruppe anstelle von direkten Benutzern hinzuzufügen, damit der DCOM-Dienst nicht jedes Mal neu gestartet werden muss, wenn ein Benutzer hinzugefügt oder aus der Autorisierung entfernt werden soll.

Befolgen Sie die folgenden Anweisungen, um zusätzliche Benutzer oder Sicherheitsgruppen hinzuzufügen, die für den Remotezugriff, den Start und die Aktivierung des OManagement-DCOM-Servers autorisiert werden sollen:

  1. Starten dcomcnfg Sie auf dem System Center Orchestrator-Verwaltungsserver das Component Services-Applet .
  2. Erweitern Sie "Component Services>Computers>My Computer".
  3. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Eigenschaften.
  4. Wählen Sie die Registerkarte "COM-Sicherheit " aus.
  5. Wählen Sie unter "Zugriffsberechtigungen" die Option "Grenzwerte bearbeiten" aus.
  6. Wählen Sie "Hinzufügen" aus, geben Sie Details zur gewünschten lokalen oder Active Directory-basierten Sicherheitsgruppe ein, und klicken Sie dann auf "OK".
  7. Klicken Sie auf den neuen Eintrag, aktivieren Sie das Kontrollkästchen "Zulassen " für jede Berechtigung, und klicken Sie dann auf "OK".
  8. Wählen Sie unter "Start- und Aktivierungsberechtigungen" die Option "Grenzwerte bearbeiten" aus.
  9. Wählen Sie "Hinzufügen" aus, geben Sie Details zur gewünschten lokalen oder Active Directory-basierten Sicherheitsgruppe ein, und klicken Sie dann auf "OK".
  10. Klicken Sie auf den neuen Eintrag, aktivieren Sie das Kontrollkästchen "Zulassen " für jede Berechtigung, und klicken Sie dann auf "OK".
  11. Klicken Sie auf "OK ", um das Dialogfeld "Meine Computereigenschaften " zu schließen.
  12. Erweitern Sie "Arbeitsplatz", und wählen Sie dann "DCOM-Konfiguration" aus.
  13. Suchen Sie omanagement, klicken Sie dann mit der rechten Maustaste, und wählen Sie "Eigenschaften" aus.
  14. Klicken Sie auf die Registerkarte Sicherheit.
  15. Wählen Sie unter "Start- und Aktivierungsberechtigungen" die Option "Bearbeiten" aus.
  16. Wählen Sie "Hinzufügen" aus, geben Sie Details zur gewünschten lokalen oder Active Directory-basierten Sicherheitsgruppe ein, und klicken Sie dann auf "OK".
  17. Klicken Sie auf den neuen Eintrag, aktivieren Sie das Kontrollkästchen "Zulassen " für jede Berechtigung, und klicken Sie dann auf "OK".
  18. Wählen Sie unter "Zugriffsberechtigungen" die Option "Bearbeiten" aus.
  19. Wählen Sie "Hinzufügen" aus, geben Sie Details zur gewünschten lokalen oder Active Directory-basierten Sicherheitsgruppe ein, und klicken Sie dann auf "OK".
  20. Klicken Sie auf den neuen Eintrag, aktivieren Sie das Kontrollkästchen "Zulassen " für jede Berechtigung, und klicken Sie dann auf "OK".
  21. Klicken Sie auf OK, um die Änderungen zu speichern.
  22. Schließen Sie das Component Services-Applet .
  23. Öffnen Sie eine Eingabeaufforderung.
  24. Geben Sie ein sc stop omanagement , und drücken Sie die EINGABETASTE.
  25. Geben Sie ein sc start omanagement , und drücken Sie die EINGABETASTE.

Nachdem der Orchestrator-Verwaltungsdienst (omanagement) neu gestartet wurde, können direkte Benutzer und Mitglieder von Sicherheitsgruppen, die hinzugefügt wurden, jetzt erfolgreich eine Verbindung mit dem System Center Orchestrator-Verwaltungsserver mithilfe des Runbook-Designers herstellen.

Weitere Informationen

Zusätzlich zur DCOM-Serverautorisierung muss das Benutzerkonto über direkte oder indirekte Berechtigungen innerhalb des Runbook-Designers für die verschiedenen Komponenten verfügen. Wenn der Benutzer nicht mindestens über Leseberechtigungen für den Runbooks-Knoten im Navigationsbereich von Runbook Designer verfügt, erhält er eine andere Fehlermeldung, die als dieses Problem falsch interpretiert werden könnte, da dies der Standardknoten ist, zu dem Der Benutzer von Runbook Designer bei erfolgreicher Verbindung mit dem Verwaltungsserver geleitet wird. Diese Fehlermeldung wird wie folgt angezeigt:

Allgemeiner Fehler
Ein allgemeiner Fehler ist aufgetreten. Der zurückgegebene Fehler war:
Der Zugriff wurde verweigert. (80070005)