本文提供一些因應措施,讓您無法在升級 Windows Server 之後使用 runas 命令、 [以系統管理員 身分執行] 選項,或 [以不同使用者 身分執行] 選項的問題。
原始 KB 編號: 977513
徵兆
試想以下情況:
- 您升級執行 Windows Server 的電腦。
- 您以標準使用者身分登入。
- 您嘗試使用下列其中一項功能:
runas命令- 以系統管理員 身分執行選項
- 以不同的用戶 選項執行
在此案例中,您會收到下列其中錯誤訊息:
存取遭拒
原因
升級 Windows Server 時,次要登入服務的任意訪問控制清單 (DACL) 未正確設定。 此問題可防止標準使用者啟動此服務,以及以不同的使用者身分執行應用程式。
因應措施 1:使用Sc.exe命令提示字元公用程式
您可以在升級伺服器之後,使用 Sc.exe 命令提示字元公用程式,將安全性設定為預設組態。
注意
您應該先以系統管理員身分登入,再執行這些命令。
若要如此做,請執行下列步驟:
開啟命令提示字元視窗。
在命令提示字元中輸入下列命令,然後按 ENTER:
net stop seclogon在命令提示字元中輸入下列命令,然後按 ENTER:
sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)注意
此命令會包裝為可讀性。
關閉 [命令提示字元] 視窗。
請嘗試使用下列其中一項功能:
runas命令- 以系統管理員 身分執行選項
- 以不同的用戶 選項執行
此外,請確定您可以切換使用者,並正確啟動次要登入服務。
因應措施 2:使用組策略
您可以使用組策略管理主控台來設定網域型原則,以在升級伺服器之後,將安全性設定為預設組態。 應該為此因應措施建立新的組策略物件 (GPO)。 而且應該連結它,讓新的 GPO 只套用至受影響的電腦。
若要如此做,請執行下列步驟:
在組策略管理控制台中編輯組策略。
找出原則: 計算機設定\原則\Windows 設定\安全性設定\系統服務。
開啟次要登入服務。
選取 [ 定義此原則設定 ] 複選框,然後選取 [ 已啟用]。
將服務啟動模式設定為 [手動]。
展開 [ 安全性] 節點,確定下列屬性和物件設定為 [允許]。
屬性 物件 已驗證的使用者 查詢範本、查詢狀態、列舉相依專案、開始、暫停和繼續、查詢、讀取許可權、用戶定義控件 Builtin\Administrators 完全控制 互動式 查詢範本、查詢狀態、列舉相依專案、開始、暫停和繼續、查詢、讀取許可權、用戶定義控件 服務 查詢範本、查詢狀態、列舉相依專案、暫停和繼續、查詢、用戶定義控件 系統 查詢範本、查詢狀態、列舉相依專案、開始、暫停和繼續、查詢、停止 選取 [ 確定 ] 以套用安全性變更。
選取 [ 確定 ] 以套用組策略變更。
等候組策略更新或手動啟動更新,將 GPO 套用至受影響的電腦。
嘗試使用下列其中一項功能:
runas命令- 以系統管理員 身分執行選項
- 以不同的用戶 選項執行
此外,請確定您可以切換使用者,並正確啟動次要登入服務。
注意
不建議使用此因應措施,因為許可權會在組策略更新期間重新套用。 不過,您只需要在升級之後修正不正確的安全性一次。
其他相關資訊
如需命令的詳細資訊 runas ,請流覽下列Microsoft TechNet 網站:
如需如何使用組策略管理控制台的詳細資訊,請流覽下列Microsoft TechNet 網站: