Compartilhar via


Erro ao usar o comando runas, a opção Executar como Administrador ou a opção Executar como um usuário diferente após a atualização do Windows Server: o acesso é negado

Este artigo fornece algumas soluções alternativas para um problema em que você não pode usar o runas comando, a opção Executar como Administrador ou a opção Executar como um usuário diferente após a atualização do Windows Server.

Número original do KB: 977513

Sintomas

Considere o cenário a seguir.

  • Você atualiza um computador que está executando o Windows Server.
  • Você entra como um usuário padrão.
  • Você tenta usar um dos seguintes recursos:
    • Comando runas
    • Opção Executar como administrador
    • Executar como uma opção de usuário diferente

Nesse cenário, você pode receber a seguinte mensagem de erro:

O acesso é negado

Motivo

A DACL (lista de controle de acesso discricionário) para o serviço de Logon Secundário não é definida corretamente quando você atualiza o Windows Server. Esse problema impede que um usuário padrão inicie esse serviço e execute um aplicativo como um usuário diferente.

Solução alternativa 1: usar o utilitário de prompt de comando Sc.exe

Você pode usar o utilitário de prompt de comando Sc.exe para definir a segurança para a configuração padrão depois de atualizar o servidor.

Observação

Você deve fazer logon como administrador antes de executar esses comandos.

Para fazer isso, siga estas etapas:

  1. Abra uma janela de Prompt de Comando.

  2. No prompt de comando, digite o seguinte comando e pressione ENTER:

    net stop seclogon
    
  3. No prompt de comando, digite o seguinte comando e pressione ENTER:

    sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
    

    Observação

    Esse comando é encapsulado para facilitar a leitura.

  4. Feche a janela do Prompt de Comando.

  5. Tente usar um dos seguintes recursos:

    • Comando runas
    • Opção Executar como administrador
    • Executar como uma opção de usuário diferente

    Além disso, verifique se você pode alternar usuários e se o serviço de Logon Secundário é iniciado corretamente.

Solução alternativa 2: usar a Política de Grupo

Você pode usar o Console de Gerenciamento de Política de Grupo para configurar uma política baseada em domínio que define a segurança para a configuração padrão após a atualização do servidor. Um novo GPO (objeto de Diretiva de Grupo) deve ser criado para essa solução alternativa. E deve ser vinculado para que o novo GPO seja aplicado apenas aos computadores afetados.

Para fazer isso, siga estas etapas:

  1. Edite a Política de Grupo no Console de Gerenciamento de Política de Grupo.

  2. Localize a política: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Serviços do Sistema.

  3. Abra o serviço Logon Secundário.

  4. Marque a caixa de seleção Definir esta configuração de política e selecione Habilitado.

  5. Defina o modo de inicialização do serviço como Manual.

  6. Expanda o nó Segurança para certificar-se de que as propriedades e os objetos a seguir estejam definidos como Permitir.

    Propriedade Objetos
    Usuários Autenticados Modelo de Consulta, Status da Consulta, Enumerar Dependentes, Iniciar, Pausar e Continuar, Interrogar, Permissões de Leitura, Controle Definido pelo Usuário
    Builtin\Administradores Controle total
    Interativo Modelo de Consulta, Status da Consulta, Enumerar Dependentes, Iniciar, Pausar e Continuar, Interrogar, Permissões de Leitura, Controle Definido pelo Usuário
    Serviço Modelo de consulta, Status da consulta, Enumerar dependentes, Pausar e continuar, Interrogar, Controle definido pelo usuário
    Sistema Modelo de Consulta, Status da Consulta, Enumerar Dependentes, Iniciar, Pausar e Continuar, Interrogar, Parar
  7. Selecione OK para aplicar as alterações de segurança.

  8. Selecione OK para aplicar as alterações da Política de Grupo.

  9. Aplique o GPO aos computadores afetados aguardando a atualização da Diretiva de Grupo ou iniciando a atualização manualmente.

  10. Tente usar um dos seguintes recursos:

    • Comando runas
    • Opção Executar como administrador
    • Executar como uma opção de usuário diferente

    Além disso, verifique se você pode alternar usuários e se o serviço de Logon Secundário é iniciado corretamente.

Observação

Não recomendamos essa solução alternativa porque as permissões são reaplicadas durante as atualizações da Política de Grupo. No entanto, você precisa corrigir a segurança incorreta apenas uma vez após a atualização.

Mais informações

Para obter mais informações sobre o runas comando, visite o seguinte site do Microsoft TechNet:

Runas

Para obter mais informações sobre como usar o Console de Gerenciamento de Diretiva de Grupo, visite o seguinte site do Microsoft TechNet:

Console de Gerenciamento de Política de Grupo