Mensaje de error cuando intenta utilizar el comando "runas", la opción "Ejecutar como administrador" o la opción "Ejecutar como otro usuario" después de actualizar desde Windows Server 2003 o desde Windows Server 2008 para Windows Server 2008 R2: "Acceso denegado"

Seleccione idioma Seleccione idioma
Id. de artículo: 977513 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Tenga en cuenta la situación siguiente:
  • Actualizar un equipo que ejecuta Windows Server 2003 o Windows Server 2008 para Windows Server 2008 R2.
  • Inicie sesión como usuario estándar.
  • Intente utilizar una de las características siguientes:
    • comando runas
    • Opción Ejecutar como administrador
    • Opción Ejecutar como usuario diferente
En esta situación, recibe mensaje de error siguientes:
Se ha denegado el acceso

Causa

Este problema se produce porque la lista de control de acceso discrecional (DACL) para el servicio de inicio de sesión secundario no está configurada correctamente cuando actualiza desde Windows Server 2003 o desde Windows Server 2008. Este problema impide que un usuario estándar iniciar este servicio y ejecutar una aplicación como un usuario diferente.

Solución

Para evitar este problema, utilizar la solución más adecuada de las siguientes soluciones provisionales.

Solución 1: Utilice la utilidad del símbolo del sistema SC.exe

Puede utilizar la utilidad del símbolo del sistema SC.exe para establecer la seguridad a la configuración predeterminada después de actualizar el servidor.

Nota Inicie la sesión como administrador antes de ejecutar estos comandos.

Para ello, siga estos pasos:
  1. Abra una ventana del símbolo.
  2. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
    net stop seclogon
  3. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
    sc sdset seclogon d:(a;;cclcswrpwpdtlocrrc;;;sy)(a; ccdclcswrpwpdtlocrsdrcwdwo;; ba)(a; cclcswrpdtlocrrc;; SR-BA)(a; cclcswdtlocrrc;; su)(a;;cclcswrpdtlocrrc;;;au)s:(au;fa;ccdclcswrpwpdtlocrsdrcwdwo;;;wd)
    Nota Este comando está ajustado para mejorar la legibilidad.
  4. Cierre la ventana de símbolo del sistema.
  5. Intente utilizar una de las características siguientes:
    • comando runas
    • Opción Ejecutar como administrador
    • Opción Ejecutar como usuario diferente
    Además, asegúrese de cambiar de usuario y que el servicio de inicio de sesión secundario se inicia correctamente.

Solución 2: Utilice Directiva de grupo

Puede utilizar la consola de administración de directivas de grupo para configurar una directiva de dominio que establece seguridad en la configuración predeterminada después de actualizar el servidor. Un nuevo objeto de directiva de grupo (GPO) debe crearse para que esta solución y debe vincularse para que el nuevo objeto de directiva de grupo se aplique únicamente en los equipos afectados.

Para ello, siga estos pasos:
  1. Modificar directiva de grupo en la consola de administración de directivas de grupo.
  2. Busque la siguiente directiva:
    De equipo Configuration\Policies\Windows Windows\Configuración de Seguridad\servicios
  3. Abrir el servicio de Inicio de sesión secundario.
  4. Haga clic en la casilla de verificación definir esta configuración de directiva y, a continuación, haga clic en habilitado.
  5. Establezca el modo de inicio de servicio a manual.
  6. Expanda el nodo de seguridad para asegurarse de que los siguientes objetos y propiedades se definen en Permitir.
    Contraer esta tablaAmpliar esta tabla
    PropiedadObjetos
    Usuarios autenticadosConsultar plantilla, estado de la consulta, enumerar dependientes, inicio, pausa y continuar interrogar, permisos de lectura definido por el UserControl
    BUILTIN\AdministradoresControl total
    InteractivoConsultar plantilla, estado de la consulta, enumerar dependientes, inicio, pausa y continuar interrogar, permisos de lectura definido por el UserControl
    ServicioConsultar plantilla, estado de la consulta, enumerar dependientes, pausar y continuar, interrogar, definido por el control de usuario
    SistemaConsultar plantilla, estado de la consulta, enumerar dependientes, inicio, pausa y continuar, interrogar, detener
  7. Haga clic en Aceptar para aplicar los cambios de seguridad.
  8. Haga clic en Aceptar para aplicar los cambios de directiva de grupo.
  9. Aplicar el GPO a los equipos afectados esperando a actualizar la directiva de grupo o iniciando la actualización manualmente.
  10. Intente utilizar una de las siguientes características:
    • comando runas
    • Opción Ejecutar como administrador
    • Opción Ejecutar como usuario diferente
    Además, asegúrese de cambiar de usuario y que el servicio de inicio de sesión secundario se inicia correctamente.
Nota No se recomienda esta solución porque se vuelven a aplicar los permisos durante las actualizaciones de la directiva de grupo. Sin embargo, tendrá que corregir sólo una vez después de la actualización de seguridad incorrecta.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:".

Más información

Para obtener más información acerca del comando runas, visite el siguiente sitio Web de Microsoft TechNet:
http://technet.microsoft.com/en-us/library/bb490994.aspx
Para obtener más información acerca de cómo utilizar la consola de administración de directivas de grupo, visite el siguiente sitio Web de Microsoft TechNet:
http://technet.microsoft.com/en-us/library/cc753298.aspx

Propiedades

Id. de artículo: 977513 - Última revisión: jueves, 19 de noviembre de 2009 - Versión: 1.1
La información de este artículo se refiere a:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Palabras clave: 
kbmt kbtshoot kberrmsg kbbug kbexpertiseinter kbsurveynew kbprb KB977513 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 977513

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com