Erreur lors de l’utilisation de la commande runas, de l’option Exécuter en tant qu’administrateur ou de l’option Exécuter en tant qu’utilisateur différent après la mise à niveau de Windows Server : l’accès est refusé

  • Article

Cet article fournit des solutions de contournement pour un problème où vous ne pouvez pas utiliser la runas commande, l’option Exécuter en tant qu’administrateur ou l’option Exécuter en tant qu’utilisateur différent après la mise à niveau de Windows Server.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 977513

Symptômes

Prenons l’exemple du scénario suivant :

  • Vous mettez à niveau un ordinateur exécutant Windows Server.
  • Vous vous connectez en tant qu’utilisateur standard.
  • Vous essayez d’utiliser l’une des fonctionnalités suivantes :
    • runas commande
    • Option Exécuter en tant qu’administrateur
    • Exécuter en tant qu’option utilisateur différente

Dans ce scénario, le message d’erreur suivant s’affiche :

Accès refusé

Cause

La liste de contrôle d’accès discrétionnaire (DACL) pour le service d’ouverture de session secondaire n’est pas définie correctement lorsque vous mettez à niveau Windows Server. Ce problème empêche un utilisateur standard de démarrer ce service et d’exécuter une application en tant qu’utilisateur différent.

Solution de contournement 1 : utiliser l’utilitaire d’invite de commandes Sc.exe

Vous pouvez utiliser l’utilitaire d’invite de commandes Sc.exe pour définir la sécurité sur la configuration par défaut après la mise à niveau du serveur.

Remarque

Vous devez ouvrir une session en tant qu’administrateur avant d’exécuter ces commandes.

Pour ce faire, procédez comme suit :

  1. Ouvrez une fenêtre d'invite de commandes.

  2. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

    net stop seclogon

  3. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

    sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    Remarque

    Cette commande est encapsulée pour plus de lisibilité.

  4. Fermez la fenêtre Invite de commandes.

  5. Essayez d’utiliser l’une des fonctionnalités suivantes :

    • runas commande
    • Option Exécuter en tant qu’administrateur
    • Exécuter en tant qu’option utilisateur différente

    Vérifiez également que vous pouvez changer d’utilisateur et que le service d’ouverture de session secondaire démarre correctement.

Solution de contournement 2 : utiliser stratégie de groupe

Vous pouvez utiliser la console de gestion stratégie de groupe pour configurer une stratégie basée sur un domaine qui définit la sécurité sur la configuration par défaut après la mise à niveau du serveur. Un nouvel objet stratégie de groupe (GPO) doit être créé pour cette solution de contournement. Et il doit être lié afin que le nouvel objet de stratégie de groupe soit appliqué uniquement aux ordinateurs affectés.

Pour ce faire, procédez comme suit :

  1. Modifiez stratégie de groupe dans la console de gestion stratégie de groupe.

  2. Recherchez la stratégie : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Services système.

  3. Ouvrez le service d’ouverture de session secondaire .

  4. Sélectionnez la zone Définir ce paramètre de stratégie case activée, puis sélectionnez Activé.

  5. Définissez le mode de démarrage du service sur Manuel.

  6. Développez le nœud Sécurité pour vous assurer que les propriétés et objets suivants sont définis sur Autoriser.

    Propriété Objets
    Utilisateurs authentifiés Modèle de requête, État de la requête, Énumérer les dépendants, Démarrer, Suspendre et continuer, Interroger, Autorisations de lecture, User-Defined Contrôle
    Builtin\Administrators Contrôle total
    Interactives Modèle de requête, État de la requête, Énumérer les dépendants, Démarrer, Suspendre et continuer, Interroger, Autorisations de lecture, User-Defined Contrôle
    Service Modèle de requête, État de la requête, Énumérer les dépendants, Suspendre et continuer, Interroger, User-Defined Contrôle
    Système Modèle de requête, État de la requête, Énumérer les dépendants, Démarrer, Suspendre et continuer, Interroger, Arrêter

  7. Sélectionnez OK pour appliquer les modifications de sécurité.

  8. Sélectionnez OK pour appliquer les modifications stratégie de groupe.

  9. Appliquez l’objet de stratégie de groupe aux ordinateurs affectés en attendant que stratégie de groupe soit mis à jour ou en lançant manuellement.

  10. Essayez d’utiliser l’une des fonctionnalités suivantes :

    • runas commande
    • Option Exécuter en tant qu’administrateur
    • Exécuter en tant qu’option utilisateur différente

    Vérifiez également que vous pouvez changer d’utilisateur et que le service d’ouverture de session secondaire démarre correctement.

Remarque

Nous ne recommandons pas cette solution de contournement, car les autorisations sont réappliquées pendant stratégie de groupe mises à jour. Toutefois, vous devez corriger la sécurité incorrecte une seule fois après la mise à niveau.

Plus d’informations

Pour plus d’informations sur la runas commande, visitez le site web Microsoft TechNet suivant :

Runas

Pour plus d’informations sur l’utilisation de stratégie de groupe Management Console, visitez le site Web Microsoft TechNet suivant :

Console de gestion des stratégies de groupe