Error al usar el comando runas, la opción Ejecutar como administrador o la opción Ejecutar como un usuario diferente después de actualizar Windows Server: Acceso denegado
En este artículo se proporcionan algunas soluciones alternativas para un problema en el que no se puede usar el runas comando, la opción Ejecutar como administrador o la opción Ejecutar como un usuario diferente después de actualizar Windows Server.
Se aplica a: Windows Server 2012 R2
Número de KB original: 977513
Síntomas
Imagine la siguiente situación:
- Actualiza un equipo que ejecuta Windows Server.
- Inicie sesión como usuario estándar.
- Intenta usar una de las siguientes características:
- Comando
runas - Opción Ejecutar como administrador
- Ejecutar como una opción de usuario diferente
- Comando
En esta situación, aparece este mensaje de error:
Acceso denegado
Causa
La lista de control de acceso discrecional (DACL) del servicio de inicio de sesión secundario no se establece correctamente al actualizar Windows Server. Este problema impide que un usuario estándar inicie este servicio y ejecute una aplicación como un usuario diferente.
Solución alternativa 1: Use la utilidad del símbolo del sistema de Sc.exe
Puede usar la utilidad del símbolo del sistema Sc.exe para establecer la seguridad en la configuración predeterminada después de actualizar el servidor.
Nota:
Debe iniciar sesión como administrador antes de ejecutar estos comandos.
Para hacerlo, siga estos pasos:
Abra una ventana del símbolo del sistema.
En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:
net stop seclogonEn el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:
sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)Nota:
Este comando se ajusta para mejorar la legibilidad.
Ciérrela.
Intente usar una de las siguientes características:
- Comando
runas - Opción Ejecutar como administrador
- Ejecutar como una opción de usuario diferente
Además, asegúrese de que puede cambiar de usuario y de que el servicio de inicio de sesión secundario se inicia correctamente.
- Comando
Solución alternativa 2: Usar directiva de grupo
Puede usar la consola de administración de directiva de grupo para configurar una directiva basada en dominio que establezca la seguridad en la configuración predeterminada después de actualizar el servidor. Se debe crear un nuevo objeto de directiva de grupo (GPO) para esta solución alternativa. Y debe vincularse para que el nuevo GPO se aplique solo a los equipos afectados.
Para hacerlo, siga estos pasos:
Edite directiva de grupo en la consola de administración de directiva de grupo.
Busque la directiva: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Servicios del sistema.
Abra el servicio de inicio de sesión secundario .
Active la casilla Definir esta configuración de directiva y, a continuación, seleccione Habilitado.
Establezca el modo de inicio del servicio en Manual.
Expanda el nodo Seguridad para asegurarse de que las siguientes propiedades y objetos están establecidos en Permitir.
Propiedad Objetos Usuarios autenticados Plantilla de consulta, Estado de consulta, Enumerar dependientes, Iniciar, Pausar y continuar, Interrogar, Leer permisos, User-Defined Control Builtin\Administrators Control completo Interactive Plantilla de consulta, Estado de consulta, Enumerar dependientes, Iniciar, Pausar y continuar, Interrogar, Leer permisos, User-Defined Control Servicio Plantilla de consulta, Estado de consulta, Enumerar dependientes, Pausar y continuar, Interrogar, User-Defined Control Sistema Plantilla de consulta, Estado de consulta, Enumerar dependientes, Iniciar, Pausar y continuar, Interrogar, Detener Seleccione Aceptar para aplicar los cambios de seguridad.
Seleccione Aceptar para aplicar los cambios de directiva de grupo.
Aplique el GPO a los equipos afectados esperando a que directiva de grupo se actualice o iniciando la actualización manualmente.
Intente usar una de las siguientes características:
- Comando
runas - Opción Ejecutar como administrador
- Ejecutar como una opción de usuario diferente
Además, asegúrese de que puede cambiar de usuario y de que el servicio de inicio de sesión secundario se inicia correctamente.
- Comando
Nota:
No se recomienda esta solución alternativa porque los permisos se vuelven a aplicar durante directiva de grupo actualizaciones. Sin embargo, solo tiene que corregir la seguridad incorrecta una vez después de la actualización.
Más información
Para obtener más información sobre el runas comando, visite el siguiente sitio web de Microsoft TechNet:
Para obtener más información sobre cómo usar la consola de administración de directiva de grupo, visite el siguiente sitio web de Microsoft TechNet:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de