Erreur lors de l’utilisation de la commande runas, de l’option Exécuter en tant qu’administrateur ou de l’option Exécuter en tant qu’utilisateur différent après la mise à niveau de Windows Server : l’accès est refusé
Cet article fournit des solutions de contournement pour un problème où vous ne pouvez pas utiliser la runas
commande, l’option Exécuter en tant qu’administrateur ou l’option Exécuter en tant qu’utilisateur différent après la mise à niveau de Windows Server.
S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 977513
Symptômes
Prenons l’exemple du scénario suivant :
- Vous mettez à niveau un ordinateur exécutant Windows Server.
- Vous vous connectez en tant qu’utilisateur standard.
- Vous essayez d’utiliser l’une des fonctionnalités suivantes :
runas
commande- Option Exécuter en tant qu’administrateur
- Exécuter en tant qu’option utilisateur différente
Dans ce scénario, le message d’erreur suivant s’affiche :
Accès refusé
Cause
La liste de contrôle d’accès discrétionnaire (DACL) pour le service d’ouverture de session secondaire n’est pas définie correctement lorsque vous mettez à niveau Windows Server. Ce problème empêche un utilisateur standard de démarrer ce service et d’exécuter une application en tant qu’utilisateur différent.
Solution de contournement 1 : utiliser l’utilitaire d’invite de commandes Sc.exe
Vous pouvez utiliser l’utilitaire d’invite de commandes Sc.exe pour définir la sécurité sur la configuration par défaut après la mise à niveau du serveur.
Remarque
Vous devez ouvrir une session en tant qu’administrateur avant d’exécuter ces commandes.
Pour ce faire, procédez comme suit :
Ouvrez une fenêtre d'invite de commandes.
À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :
net stop seclogon
À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :
sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Remarque
Cette commande est encapsulée pour plus de lisibilité.
Fermez la fenêtre Invite de commandes.
Essayez d’utiliser l’une des fonctionnalités suivantes :
runas
commande- Option Exécuter en tant qu’administrateur
- Exécuter en tant qu’option utilisateur différente
Vérifiez également que vous pouvez changer d’utilisateur et que le service d’ouverture de session secondaire démarre correctement.
Solution de contournement 2 : utiliser stratégie de groupe
Vous pouvez utiliser la console de gestion stratégie de groupe pour configurer une stratégie basée sur un domaine qui définit la sécurité sur la configuration par défaut après la mise à niveau du serveur. Un nouvel objet stratégie de groupe (GPO) doit être créé pour cette solution de contournement. Et il doit être lié afin que le nouvel objet de stratégie de groupe soit appliqué uniquement aux ordinateurs affectés.
Pour ce faire, procédez comme suit :
Modifiez stratégie de groupe dans la console de gestion stratégie de groupe.
Recherchez la stratégie : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Services système.
Ouvrez le service d’ouverture de session secondaire .
Sélectionnez la zone Définir ce paramètre de stratégie case activée, puis sélectionnez Activé.
Définissez le mode de démarrage du service sur Manuel.
Développez le nœud Sécurité pour vous assurer que les propriétés et objets suivants sont définis sur Autoriser.
Propriété Objets Utilisateurs authentifiés Modèle de requête, État de la requête, Énumérer les dépendants, Démarrer, Suspendre et continuer, Interroger, Autorisations de lecture, User-Defined Contrôle Builtin\Administrators Contrôle total Interactives Modèle de requête, État de la requête, Énumérer les dépendants, Démarrer, Suspendre et continuer, Interroger, Autorisations de lecture, User-Defined Contrôle Service Modèle de requête, État de la requête, Énumérer les dépendants, Suspendre et continuer, Interroger, User-Defined Contrôle Système Modèle de requête, État de la requête, Énumérer les dépendants, Démarrer, Suspendre et continuer, Interroger, Arrêter Sélectionnez OK pour appliquer les modifications de sécurité.
Sélectionnez OK pour appliquer les modifications stratégie de groupe.
Appliquez l’objet de stratégie de groupe aux ordinateurs affectés en attendant que stratégie de groupe soit mis à jour ou en lançant manuellement.
Essayez d’utiliser l’une des fonctionnalités suivantes :
runas
commande- Option Exécuter en tant qu’administrateur
- Exécuter en tant qu’option utilisateur différente
Vérifiez également que vous pouvez changer d’utilisateur et que le service d’ouverture de session secondaire démarre correctement.
Remarque
Nous ne recommandons pas cette solution de contournement, car les autorisations sont réappliquées pendant stratégie de groupe mises à jour. Toutefois, vous devez corriger la sécurité incorrecte une seule fois après la mise à niveau.
Plus d’informations
Pour plus d’informations sur la runas
commande, visitez le site web Microsoft TechNet suivant :
Pour plus d’informations sur l’utilisation de stratégie de groupe Management Console, visitez le site Web Microsoft TechNet suivant :
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour