Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan algunas soluciones alternativas para un problema por el que no se puede usar el runas
comando, la opción Ejecutar como administrador o la opción Ejecutar como usuario diferente después de actualizar Windows Server.
Número de KB original: 977513
Síntomas
Considere el caso siguiente:
- Actualiza un equipo que ejecuta Windows Server.
- Inicie sesión como usuario estándar.
- Intenta usar una de las siguientes características:
- Comando
runas
- Opción Ejecutar como administrador
- Ejecutar como una opción de usuario diferente
- Comando
En este escenario, recibirá el siguiente mensaje de error:
Se denegó el acceso
Causa
La lista de control de acceso discrecional (DACL) para el servicio de inicio de sesión secundario no se establece correctamente al actualizar Windows Server. Este problema impide que un usuario estándar inicie este servicio y ejecute una aplicación como un usuario diferente.
Solución alternativa 1: Uso de la utilidad del símbolo del sistema de Sc.exe
Puede usar la utilidad del símbolo del sistema de Sc.exe para establecer la seguridad en la configuración predeterminada después de actualizar el servidor.
Nota:
Debe iniciar sesión como administrador antes de ejecutar estos comandos.
Para ello, siga los pasos que se indican a continuación:
Abra una ventana de símbolo del sistema.
En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:
net stop seclogon
En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:
sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Nota:
Este comando se ajusta para mejorar la legibilidad.
Ventana Cerrar el símbolo del sistema.
Intente usar una de las siguientes características:
- Comando
runas
- Opción Ejecutar como administrador
- Ejecutar como una opción de usuario diferente
Además, asegúrese de que puede cambiar de usuario y de que el servicio de inicio de sesión secundario se inicie correctamente.
- Comando
Solución alternativa 2: Usar la directiva de grupo
Puede usar la Consola de administración de directivas de grupo para configurar una directiva basada en dominio que establezca la seguridad en la configuración predeterminada después de actualizar el servidor. Se debe crear un nuevo objeto de directiva de grupo (GPO) para esta solución alternativa. Y debe vincularse para que el nuevo GPO se aplique solo a los equipos afectados.
Para ello, siga los pasos que se indican a continuación:
Edite la directiva de grupo en la Consola de administración de directivas de grupo.
Busque la directiva: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Servicios del sistema.
Abra el servicio De inicio de sesión secundario.
Active la casilla Definir esta configuración de directiva y, a continuación, seleccione Habilitado.
Establezca el modo de inicio del servicio en Manual.
Expanda el nodo Seguridad para asegurarse de que las siguientes propiedades y objetos están establecidos en Permitir.
Propiedad Objetos Usuarios autenticados Plantilla de consulta, Estado de consulta, Enumerar dependientes, Iniciar, Pausar y continuar, Interrogar, Permisos de lectura, Control definido por el usuario Builtin\Administrators Control total Interactivo Plantilla de consulta, Estado de consulta, Enumerar dependientes, Iniciar, Pausar y continuar, Interrogar, Permisos de lectura, Control definido por el usuario Service Plantilla de consulta, estado de consulta, enumerar dependientes, pausar y continuar, interrogar, control definido por el usuario Sistema Plantilla de consulta, Estado de consulta, Enumerar dependientes, Iniciar, Pausar y continuar, Interrogar, Detener Seleccione Aceptar para aplicar los cambios de seguridad.
Seleccione Aceptar para aplicar los cambios de directiva de grupo.
Aplique el GPO a los equipos afectados esperando a que la directiva de grupo se actualice o iniciando la actualización manualmente.
Intente usar una de las siguientes características:
- Comando
runas
- Opción Ejecutar como administrador
- Ejecutar como una opción de usuario diferente
Además, asegúrese de que puede cambiar de usuario y de que el servicio de inicio de sesión secundario se inicie correctamente.
- Comando
Nota:
No se recomienda esta solución alternativa porque los permisos se vuelven a aplicar durante las actualizaciones de la directiva de grupo. Sin embargo, debe corregir la seguridad incorrecta solo una vez después de la actualización.
Más información
Para obtener más información sobre el runas
comando, visite el siguiente sitio web de Microsoft TechNet:
Para obtener más información sobre cómo usar la Consola de administración de directivas de grupo, visite el siguiente sitio web de Microsoft TechNet: