Поделиться через


Ошибка при использовании команды runas, параметра "Запуск от имени администратора" или "Запуск от имени другого пользователя" после обновления Windows Server: доступ запрещен.

В этой статье приводятся некоторые обходные пути для проблемы, в которой вы не можете использовать runas команду, параметр "Запуск от имени администратора " или "Запуск от имени пользователя " после обновления Windows Server.

Исходный номер базы знаний: 977513

Симптомы

Рассмотрим следующий сценарий:

  • Обновление компьютера под управлением Windows Server.
  • Вы входите в систему как стандартный пользователь.
  • Вы пытаетесь использовать одну из следующих функций:
    • Команда runas
    • Запуск от имени администратора
    • Запуск от имени другого пользователя

В этом сценарии вы получите следующее сообщение об ошибке:

Доступ запрещен

Причина

Список управления доступом (DACL) для службы дополнительного входа не задан правильно при обновлении Windows Server. Эта проблема не позволяет стандартному пользователю запускать эту службу и запускать приложение в качестве другого пользователя.

Решение 1. Использование служебной программы командной строки Sc.exe

Вы можете использовать служебную программу командной строки Sc.exe, чтобы настроить безопасность конфигурации по умолчанию после обновления сервера.

Примечание.

Перед выполнением этих команд необходимо войти в систему от имени администратора.

Для этого выполните следующие шаги:

  1. Откройте окно командной строки.

  2. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    net stop seclogon
    
  3. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
    

    Примечание.

    Эта команда упакована для удобства чтения.

  4. Закройте окно командной строки.

  5. Попробуйте использовать одну из следующих функций:

    • Команда runas
    • Запуск от имени администратора
    • Запуск от имени другого пользователя

    Кроме того, убедитесь, что вы можете переключить пользователей и правильно запустить службу вторичного входа.

Обходное решение 2. Использование групповой политики

Консоль управления групповыми политиками можно использовать для настройки политики на основе домена, которая устанавливает безопасность конфигурации по умолчанию после обновления сервера. Для этого обходного решения необходимо создать новый объект групповой политики . И его следует связать таким образом, чтобы новый объект групповой политики применялся только к затронутым компьютерам.

Для этого выполните следующие шаги:

  1. Измените групповую политику в консоли управления групповыми политиками.

  2. Найдите политику: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Системные службы.

  3. Откройте службу вторичного входа .

  4. Установите флажок "Определить этот параметр политики" и нажмите кнопку "Включить".

  5. Задайте для режима запуска службы значение Manual.

  6. Разверните узел "Безопасность", чтобы убедиться, что для следующих свойств и объектов задано значение Allow.

    Свойство Объект
    Пользователи, прошедшие проверку подлинности Шаблон запроса, состояние запроса, перечисление зависимых элементов, запуск, приостановка и продолжение, допрос, разрешения на чтение, определяемый пользователем элемент управления
    Buildin\Administrators Полный доступ
    Интерактивный Шаблон запроса, состояние запроса, перечисление зависимых элементов, запуск, приостановка и продолжение, допрос, разрешения на чтение, определяемый пользователем элемент управления
    Service Шаблон запроса, состояние запроса, перечисление зависимых, приостановка и продолжение, допрос, определяемый пользователем элемент управления
    Системные Шаблон запроса, состояние запроса, перечисление зависимых, запуск, приостановка и продолжение, допрос, остановка
  7. Нажмите кнопку "ОК ", чтобы применить изменения безопасности.

  8. Нажмите кнопку "ОК ", чтобы применить изменения групповой политики.

  9. Примените объект групповой политики к затронутым компьютерам, ожидая обновления групповой политики или запуская обновление вручную.

  10. Попробуйте использовать одну из следующих функций:

    • Команда runas
    • Запуск от имени администратора
    • Запуск от имени другого пользователя

    Кроме того, убедитесь, что вы можете переключить пользователей и правильно запустить службу вторичного входа.

Примечание.

Мы не рекомендуем это решение, так как разрешения повторно применяются во время обновлений групповой политики. Однако после обновления необходимо исправить неправильное обеспечение безопасности только один раз.

Дополнительная информация

Дополнительные сведения о команде runas см. на следующем веб-сайте Microsoft TechNet:

Runas

Дополнительные сведения об использовании консоли управления групповыми политиками см. на следующем веб-сайте Microsoft TechNet:

Консоль управления групповой политикой