Compartir a través de


Error al usar el comando runas, la opción Ejecutar como administrador o la opción Ejecutar como usuario diferente después de actualizar Windows Server: Se deniega el acceso.

En este artículo se proporcionan algunas soluciones alternativas para un problema por el que no se puede usar el runas comando, la opción Ejecutar como administrador o la opción Ejecutar como usuario diferente después de actualizar Windows Server.

Número de KB original: 977513

Síntomas

Considere el caso siguiente:

  • Actualiza un equipo que ejecuta Windows Server.
  • Inicie sesión como usuario estándar.
  • Intenta usar una de las siguientes características:
    • Comando runas
    • Opción Ejecutar como administrador
    • Ejecutar como una opción de usuario diferente

En este escenario, recibirá el siguiente mensaje de error:

Se denegó el acceso

Causa

La lista de control de acceso discrecional (DACL) para el servicio de inicio de sesión secundario no se establece correctamente al actualizar Windows Server. Este problema impide que un usuario estándar inicie este servicio y ejecute una aplicación como un usuario diferente.

Solución alternativa 1: Uso de la utilidad del símbolo del sistema de Sc.exe

Puede usar la utilidad del símbolo del sistema de Sc.exe para establecer la seguridad en la configuración predeterminada después de actualizar el servidor.

Nota:

Debe iniciar sesión como administrador antes de ejecutar estos comandos.

Para ello, siga los pasos que se indican a continuación:

  1. Abra una ventana de símbolo del sistema.

  2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    net stop seclogon
    
  3. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
    

    Nota:

    Este comando se ajusta para mejorar la legibilidad.

  4. Ventana Cerrar el símbolo del sistema.

  5. Intente usar una de las siguientes características:

    • Comando runas
    • Opción Ejecutar como administrador
    • Ejecutar como una opción de usuario diferente

    Además, asegúrese de que puede cambiar de usuario y de que el servicio de inicio de sesión secundario se inicie correctamente.

Solución alternativa 2: Usar la directiva de grupo

Puede usar la Consola de administración de directivas de grupo para configurar una directiva basada en dominio que establezca la seguridad en la configuración predeterminada después de actualizar el servidor. Se debe crear un nuevo objeto de directiva de grupo (GPO) para esta solución alternativa. Y debe vincularse para que el nuevo GPO se aplique solo a los equipos afectados.

Para ello, siga los pasos que se indican a continuación:

  1. Edite la directiva de grupo en la Consola de administración de directivas de grupo.

  2. Busque la directiva: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Servicios del sistema.

  3. Abra el servicio De inicio de sesión secundario.

  4. Active la casilla Definir esta configuración de directiva y, a continuación, seleccione Habilitado.

  5. Establezca el modo de inicio del servicio en Manual.

  6. Expanda el nodo Seguridad para asegurarse de que las siguientes propiedades y objetos están establecidos en Permitir.

    Propiedad Objetos
    Usuarios autenticados Plantilla de consulta, Estado de consulta, Enumerar dependientes, Iniciar, Pausar y continuar, Interrogar, Permisos de lectura, Control definido por el usuario
    Builtin\Administrators Control total
    Interactivo Plantilla de consulta, Estado de consulta, Enumerar dependientes, Iniciar, Pausar y continuar, Interrogar, Permisos de lectura, Control definido por el usuario
    Service Plantilla de consulta, estado de consulta, enumerar dependientes, pausar y continuar, interrogar, control definido por el usuario
    Sistema Plantilla de consulta, Estado de consulta, Enumerar dependientes, Iniciar, Pausar y continuar, Interrogar, Detener
  7. Seleccione Aceptar para aplicar los cambios de seguridad.

  8. Seleccione Aceptar para aplicar los cambios de directiva de grupo.

  9. Aplique el GPO a los equipos afectados esperando a que la directiva de grupo se actualice o iniciando la actualización manualmente.

  10. Intente usar una de las siguientes características:

    • Comando runas
    • Opción Ejecutar como administrador
    • Ejecutar como una opción de usuario diferente

    Además, asegúrese de que puede cambiar de usuario y de que el servicio de inicio de sesión secundario se inicie correctamente.

Nota:

No se recomienda esta solución alternativa porque los permisos se vuelven a aplicar durante las actualizaciones de la directiva de grupo. Sin embargo, debe corregir la seguridad incorrecta solo una vez después de la actualización.

Más información

Para obtener más información sobre el runas comando, visite el siguiente sitio web de Microsoft TechNet:

Runas

Para obtener más información sobre cómo usar la Consola de administración de directivas de grupo, visite el siguiente sitio web de Microsoft TechNet:

Consola de administración de directivas de grupo