次の方法で共有

runas コマンド、管理者として実行オプション、または Windows Server をアップグレードした後の [別のユーザーとして実行] オプションを使用するとエラーが発生する: アクセスが拒否されました

この記事では、Windows Server をアップグレードした後に、 runas コマンド、 管理者として実行 オプション、または Run as a different user オプションを使用できない問題の回避策について説明します。

元の KB 番号: 977513

現象

以下のシナリオについて考えてみます。

  • Windows Server を実行しているコンピューターをアップグレードします。
  • 標準ユーザーとしてサインインします。
  • 次のいずれかの機能を使用します。
    • runas コマンド
    • [管理者として実行 オプション
    • 別のユーザーとして実行する オプション

このシナリオでは、次のエラー メッセージが表示されます。

アクセスが拒否されました

原因

Windows Server をアップグレードするときに、セカンダリ ログオン サービスの随意アクセス制御リスト (DACL) が正しく設定されていません。 この問題により、標準ユーザーがこのサービスを開始できず、アプリケーションを別のユーザーとして実行できなくなります。

回避策 1: Sc.exe コマンド プロンプト ユーティリティを使用する

Sc.exe コマンド プロンプト ユーティリティを使用して、サーバーをアップグレードした後でセキュリティを既定の構成に設定できます。

Note

これらのコマンドを実行する前に、管理者としてログオンする必要があります。

そのためには、次の手順に従います。

  1. コマンド プロンプト ウィンドウを開きます。

  2. コマンド プロンプトで、次のコマンドを入力して Enter キーを押します。

    net stop seclogon

  3. コマンド プロンプトで、次のコマンドを入力して Enter キーを押します。

    sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    Note

    このコマンドは読みやすくするためにラップされています。

  4. コマンド プロンプト ウィンドウを閉じます。

  5. 次のいずれかの機能を使用してみてください。

    • runas コマンド
    • [管理者として実行 オプション
    • 別のユーザーとして実行する オプション

    また、ユーザーを切り替え、セカンダリ ログオン サービスが正しく開始されることを確認してください。

回避策 2: グループ ポリシーを使用する

グループ ポリシー管理コンソールを使用して、サーバーをアップグレードした後にセキュリティを既定の構成に設定するドメイン ベースのポリシーを構成できます。 この回避策のために、新しいグループ ポリシー オブジェクト (GPO) を作成する必要があります。 また、新しい GPO が影響を受けるコンピューターにのみ適用されるようにリンクする必要があります。

そのためには、次の手順に従います。

  1. グループ ポリシー管理コンソールでグループ ポリシーを編集します。

  2. ポリシー Computer Configuration\Policies\Windows Settings\Security Settings\System Services を見つけます。

  3. Secondary Logon サービスを開きます。

  4. このポリシー設定を定義しますチェック ボックスをオンにし、有効を選択します。

  5. サービスのスタートアップ モードを Manual に設定します。

  6. Security ノードを展開して、次のプロパティとオブジェクトが Allow に設定されていることを確認します。

    プロパティ Objects
    Authenticated Users クエリ テンプレート、クエリの状態、依存オブジェクトの列挙、開始、一時停止、続行、問い合わせ、読み取りアクセス許可、ユーザー定義コントロール
    Builtin\Administrators フル コントロール
    Interactive クエリ テンプレート、クエリの状態、依存オブジェクトの列挙、開始、一時停止、続行、問い合わせ、読み取りアクセス許可、ユーザー定義コントロール
    Service クエリ テンプレート、クエリの状態、依存オブジェクトの列挙、一時停止、続行、問い合わせ、ユーザー定義コントロール
    System クエリ テンプレート、クエリの状態、依存オブジェクトの列挙、開始、一時停止、続行、問い合わせ、停止

  7. OKを選択してセキュリティの変更を適用します。

  8. OKを選択して、グループ ポリシーの変更を適用します。

  9. グループ ポリシーの更新を待機するか、手動で更新を開始して、影響を受けるコンピューターに GPO を適用します。

  10. 次のいずれかの機能を使用してみてください。

    • runas コマンド
    • [管理者として実行 オプション
    • 別のユーザーとして実行する オプション

    また、ユーザーを切り替え、セカンダリ ログオン サービスが正しく開始されることを確認してください。

Note

グループ ポリシーの更新中にアクセス許可が再適用されるため、この回避策はお勧めしません。 ただし、正しくないセキュリティは、アップグレード後に 1 回だけ修正する必要があります。

詳細

runas コマンドの詳細については、次の Microsoft TechNet Web サイトを参照してください。

Runas

グループ ポリシー管理コンソールの使用方法の詳細については、次の Microsoft TechNet Web サイトを参照してください。

グループ ポリシー管理コンソール