Freigeben über

Fehler beim Verwenden des Befehls "runas", der Option "Als Administrator ausführen" oder "Als andere Benutzeroption ausführen" nach dem Upgrade von Windows Server: Zugriff verweigert

Dieser Artikel enthält einige Problemumgehungen für ein Problem, bei dem Sie den runas Befehl, die Option "Als Administrator ausführen" oder die Option "Als Benutzer ausführen" nach dem Upgrade von Windows Server nicht verwenden können.

Ursprüngliche KB-Nummer: 977513

Problembeschreibung

Stellen Sie sich folgendes Szenario vor:

  • Sie aktualisieren einen Computer, auf dem Windows Server ausgeführt wird.
  • Sie melden sich als Standardbenutzer an.
  • Sie versuchen, eines der folgenden Features zu verwenden:
    • runas-Befehl
    • Als Administratoroption ausführen
    • Als andere Benutzeroption ausführen

In diesem Fall wird die folgende Fehlermeldung angezeigt:

Zugriff verweigert

Ursache

Die diskretionäre Zugriffssteuerungsliste (DACL) für den sekundären Anmeldedienst ist beim Upgrade von Windows Server nicht ordnungsgemäß festgelegt. Dieses Problem verhindert, dass ein Standardbenutzer diesen Dienst startet und eine Anwendung als anderer Benutzer ausführt.

Problemumgehung 1: Verwenden des Befehlszeilenprogramms Sc.exe

Sie können das Befehlszeilenprogramm Sc.exe verwenden, um die Sicherheit auf die Standardkonfiguration festzulegen, nachdem Sie den Server aktualisiert haben.

Notiz

Sie sollten sich als Administrator anmelden, bevor Sie diese Befehle ausführen.

Führen Sie dazu die folgenden Schritte aus:

  1. Öffnen Sie ein Eingabeaufforderungsfenster.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    net stop seclogon

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    Notiz

    Dieser Befehl wird zur Besseren Lesbarkeit umschlossen.

  4. Schließen Sie das Eingabeaufforderungs-fenster.

  5. Versuchen Sie, eines der folgenden Features zu verwenden:

    • runas-Befehl
    • Als Administratoroption ausführen
    • Als andere Benutzeroption ausführen

    Stellen Sie außerdem sicher, dass Sie Benutzer wechseln können und dass der sekundäre Anmeldedienst ordnungsgemäß gestartet wird.

Problemumgehung 2: Verwenden von Gruppenrichtlinien

Sie können die Gruppenrichtlinien-Verwaltungskonsole verwenden, um eine domänenbasierte Richtlinie zu konfigurieren, die die Sicherheit auf die Standardkonfiguration festlegt, nachdem Sie den Server aktualisiert haben. Für diese Problemumgehung sollte ein neues Gruppenrichtlinienobjekt (Group Policy Object, GPO) erstellt werden. Und es sollte verknüpft werden, damit das neue Gruppenrichtlinienobjekt nur auf die betroffenen Computer angewendet wird.

Führen Sie dazu die folgenden Schritte aus:

  1. Bearbeiten Von Gruppenrichtlinien in der Gruppenrichtlinien-Verwaltungskonsole.

  2. Suchen Sie die Richtlinie: Computerkonfiguration\Policies\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste.

  3. Öffnen Sie den sekundären Anmeldedienst.

  4. Aktivieren Sie das Kontrollkästchen "Diese Richtlinieneinstellung definieren", und wählen Sie dann "Aktiviert" aus.

  5. Legen Sie den Dienststartmodus auf manuell fest.

  6. Erweitern Sie den Sicherheitsknoten , um sicherzustellen, dass die folgenden Eigenschaften und Objekte auf "Zulassen" festgelegt sind.

    Eigenschaft Objekte
    Authentifizierte Benutzer Abfragevorlage, Abfragestatus, Aufzählen von Nachfolgern, Start, Anhalten und Fortfahren, Abfragen, Leseberechtigungen, benutzerdefiniertes Steuerelement
    Integriert\Administratoren Vollzugriff
    Interactive Abfragevorlage, Abfragestatus, Aufzählen von Nachfolgern, Start, Anhalten und Fortfahren, Abfragen, Leseberechtigungen, benutzerdefiniertes Steuerelement
    Dienst Abfragevorlage, Abfragestatus, Aufzählen von Nachfolgern, Anhalten und Fortfahren, Abfragen, benutzerdefiniertes Steuerelement
    System Abfragevorlage, Abfragestatus, Aufzählen von Nachfolgern, Start, Anhalten und Fortfahren, Abfragen, Beenden

  7. Wählen Sie "OK" aus, um die Sicherheitsänderungen anzuwenden.

  8. Wählen Sie "OK" aus, um die Gruppenrichtlinienänderungen anzuwenden.

  9. Wenden Sie das Gruppenrichtlinienobjekt auf die betroffenen Computer an, indem Sie warten, bis die Gruppenrichtlinie aktualisiert wird, oder indem Sie das Update manuell starten.

  10. Versuchen Sie, eines der folgenden Features zu verwenden:

    • runas-Befehl
    • Als Administratoroption ausführen
    • Als andere Benutzeroption ausführen

    Stellen Sie außerdem sicher, dass Sie Benutzer wechseln können und dass der sekundäre Anmeldedienst ordnungsgemäß gestartet wird.

Notiz

Diese Problemumgehung wird nicht empfohlen, da die Berechtigungen während gruppenrichtlinienupdates erneut angewendet werden. Sie müssen die falsche Sicherheit jedoch nur einmal nach dem Upgrade beheben.

Weitere Informationen

Weitere Informationen zum runas Befehl finden Sie auf der folgenden Microsoft TechNet-Website:

Runas

Weitere Informationen zur Verwendung der Gruppenrichtlinien-Verwaltungskonsole finden Sie auf der folgenden Microsoft TechNet-Website:

Gruppenrichtlinien-Verwaltungskonsole.