Partager via

Erreur lorsque vous utilisez la commande Runas, l’option Exécuter en tant qu’administrateur ou l’option Exécuter en tant qu’autre utilisateur après la mise à niveau de Windows Server : Access est refusé

Cet article fournit des solutions de contournement pour un problème où vous ne pouvez pas utiliser la runas commande, l’option Exécuter en tant qu’administrateur ou l’option Exécuter en tant qu’utilisateur différente après la mise à niveau de Windows Server.

Numéro de base de connaissances d’origine : 977513

Symptômes

Examinez le cas suivant :

  • Vous mettez à niveau un ordinateur exécutant Windows Server.
  • Vous vous connectez en tant qu’utilisateur standard.
  • Vous essayez d’utiliser l’une des fonctionnalités suivantes :
    • Commande runas
    • Option Exécuter en tant qu’administrateur
    • Exécuter en tant qu’option utilisateur différente

Dans ce scénario, le message d’erreur suivant s’affiche :

Accès refusé

Cause

La liste de contrôle d’accès discrétionnaire (DACL) du service d’ouverture de session secondaire n’est pas définie correctement lorsque vous mettez à niveau Windows Server. Ce problème empêche un utilisateur standard de démarrer ce service et d’exécuter une application en tant qu’utilisateur différent.

Solution de contournement 1 : Utiliser l’utilitaire d’invite de commandes Sc.exe

Vous pouvez utiliser l’utilitaire d’invite de commandes Sc.exe pour définir la sécurité sur la configuration par défaut après la mise à niveau du serveur.

Note

Vous devez vous connecter en tant qu’administrateur avant d’exécuter ces commandes.

Pour ce faire, procédez comme suit :

  1. Ouvrez une fenêtre d’invite de commandes.

  2. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

    net stop seclogon

  3. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

    sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    Note

    Cette commande est encapsulée pour la lisibilité.

  4. Fermez la fenêtre Invite de commandes.

  5. Essayez d’utiliser l’une des fonctionnalités suivantes :

    • Commande runas
    • Option Exécuter en tant qu’administrateur
    • Exécuter en tant qu’option utilisateur différente

    Vérifiez également que vous pouvez changer d’utilisateur et que le service d’ouverture de session secondaire démarre correctement.

Solution de contournement 2 : Utiliser la stratégie de groupe

Vous pouvez utiliser la console de gestion des stratégies de groupe pour configurer une stratégie basée sur un domaine qui définit la sécurité sur la configuration par défaut après la mise à niveau du serveur. Un nouvel objet de stratégie de groupe (GPO) doit être créé pour cette solution de contournement. Et il doit être lié afin que le nouvel objet de stratégie de groupe soit appliqué uniquement aux ordinateurs concernés.

Pour ce faire, procédez comme suit :

  1. Modifiez la stratégie de groupe dans la console de gestion des stratégies de groupe.

  2. Recherchez la stratégie : Configuration ordinateur\Policies\Windows Settings\Security Settings\System Services.

  3. Ouvrez le service d’ouverture de session secondaire.

  4. Cochez la case Définir ce paramètre de stratégie, puis activez l’option Activé.

  5. Définissez le mode de démarrage du service sur Manuel.

  6. Développez le nœud sécurité pour vous assurer que les propriétés et objets suivants sont définis sur Autoriser.

    Propriété Objets
    Utilisateurs authentifiés Modèle de requête, état de la requête, énumération des dépendants, démarrer, suspendre et continuer, interroger, lire des autorisations, contrôle défini par l’utilisateur
    Builtin\Administrators Contrôle total
    Interactive Modèle de requête, état de la requête, énumération des dépendants, démarrer, suspendre et continuer, interroger, lire des autorisations, contrôle défini par l’utilisateur
    Service Modèle de requête, état de la requête, énumération des dépendants, pause et continuer, Interroger, contrôle défini par l’utilisateur
    System Modèle de requête, état de la requête, énumération des dépendants, démarrer, suspendre et continuer, Interroger, Arrêter

  7. Sélectionnez OK pour appliquer les modifications de sécurité.

  8. Sélectionnez OK pour appliquer les modifications de stratégie de groupe.

  9. Appliquez l’objet de stratégie de groupe aux ordinateurs concernés en attendant que la stratégie de groupe soit mise à jour ou en démarrant la mise à jour manuellement.

  10. Essayez d’utiliser l’une des fonctionnalités suivantes :

    • Commande runas
    • Option Exécuter en tant qu’administrateur
    • Exécuter en tant qu’option utilisateur différente

    Vérifiez également que vous pouvez changer d’utilisateur et que le service d’ouverture de session secondaire démarre correctement.

Note

Nous vous déconseillons cette solution de contournement, car les autorisations sont réappliquées pendant les mises à jour de stratégie de groupe. Toutefois, vous devez corriger la sécurité incorrecte une seule fois après la mise à niveau.

Plus d’informations

Pour plus d’informations sur la runas commande, visitez le site web Microsoft TechNet suivant :

Runas

Pour plus d’informations sur l’utilisation de la console de gestion des stratégies de groupe, visitez le site web Microsoft TechNet suivant :

Console de gestion des stratégies de groupe