Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece algumas soluções alternativas para um problema em que você não pode usar o runas
comando, a opção Executar como Administrador ou a opção Executar como um usuário diferente após a atualização do Windows Server.
Número original do KB: 977513
Sintomas
Considere o cenário a seguir.
- Você atualiza um computador que está executando o Windows Server.
- Você entra como um usuário padrão.
- Você tenta usar um dos seguintes recursos:
- Comando
runas
- Opção Executar como administrador
- Executar como uma opção de usuário diferente
- Comando
Nesse cenário, você pode receber a seguinte mensagem de erro:
O acesso é negado
Motivo
A DACL (lista de controle de acesso discricionário) para o serviço de Logon Secundário não é definida corretamente quando você atualiza o Windows Server. Esse problema impede que um usuário padrão inicie esse serviço e execute um aplicativo como um usuário diferente.
Solução alternativa 1: usar o utilitário de prompt de comando Sc.exe
Você pode usar o utilitário de prompt de comando Sc.exe para definir a segurança para a configuração padrão depois de atualizar o servidor.
Observação
Você deve fazer logon como administrador antes de executar esses comandos.
Para fazer isso, siga estas etapas:
Abra uma janela de Prompt de Comando.
No prompt de comando, digite o seguinte comando e pressione ENTER:
net stop seclogon
No prompt de comando, digite o seguinte comando e pressione ENTER:
sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Observação
Esse comando é encapsulado para facilitar a leitura.
Feche a janela do Prompt de Comando.
Tente usar um dos seguintes recursos:
- Comando
runas
- Opção Executar como administrador
- Executar como uma opção de usuário diferente
Além disso, verifique se você pode alternar usuários e se o serviço de Logon Secundário é iniciado corretamente.
- Comando
Solução alternativa 2: usar a Política de Grupo
Você pode usar o Console de Gerenciamento de Política de Grupo para configurar uma política baseada em domínio que define a segurança para a configuração padrão após a atualização do servidor. Um novo GPO (objeto de Diretiva de Grupo) deve ser criado para essa solução alternativa. E deve ser vinculado para que o novo GPO seja aplicado apenas aos computadores afetados.
Para fazer isso, siga estas etapas:
Edite a Política de Grupo no Console de Gerenciamento de Política de Grupo.
Localize a política: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Serviços do Sistema.
Abra o serviço Logon Secundário.
Marque a caixa de seleção Definir esta configuração de política e selecione Habilitado.
Defina o modo de inicialização do serviço como Manual.
Expanda o nó Segurança para certificar-se de que as propriedades e os objetos a seguir estejam definidos como Permitir.
Propriedade Objetos Usuários Autenticados Modelo de Consulta, Status da Consulta, Enumerar Dependentes, Iniciar, Pausar e Continuar, Interrogar, Permissões de Leitura, Controle Definido pelo Usuário Builtin\Administradores Controle total Interativo Modelo de Consulta, Status da Consulta, Enumerar Dependentes, Iniciar, Pausar e Continuar, Interrogar, Permissões de Leitura, Controle Definido pelo Usuário Serviço Modelo de consulta, Status da consulta, Enumerar dependentes, Pausar e continuar, Interrogar, Controle definido pelo usuário Sistema Modelo de Consulta, Status da Consulta, Enumerar Dependentes, Iniciar, Pausar e Continuar, Interrogar, Parar Selecione OK para aplicar as alterações de segurança.
Selecione OK para aplicar as alterações da Política de Grupo.
Aplique o GPO aos computadores afetados aguardando a atualização da Diretiva de Grupo ou iniciando a atualização manualmente.
Tente usar um dos seguintes recursos:
- Comando
runas
- Opção Executar como administrador
- Executar como uma opção de usuário diferente
Além disso, verifique se você pode alternar usuários e se o serviço de Logon Secundário é iniciado corretamente.
- Comando
Observação
Não recomendamos essa solução alternativa porque as permissões são reaplicadas durante as atualizações da Política de Grupo. No entanto, você precisa corrigir a segurança incorreta apenas uma vez após a atualização.
Mais informações
Para obter mais informações sobre o runas
comando, visite o seguinte site do Microsoft TechNet:
Para obter mais informações sobre como usar o Console de Gerenciamento de Diretiva de Grupo, visite o seguinte site do Microsoft TechNet: