Errore quando si usa il comando runas, l'opzione Esegui come amministratore o l'opzione Esegui come utente diverso dopo l'aggiornamento di Windows Server: Accesso negato

  • Articolo

Questo articolo fornisce alcune soluzioni alternative per un problema per cui non è possibile usare il runas comando, l'opzione Esegui come amministratore o l'opzione Esegui come utente diverso dopo l'aggiornamento di Windows Server.

Si applica a: Windows Server 2012 R2
Numero KB originale: 977513

Sintomi

Considerare lo scenario descritto di seguito:

  • Si aggiorna un computer che esegue Windows Server.
  • Si accede come utente standard.
  • Si tenta di usare una delle funzionalità seguenti:
    • runas comando
    • Opzione Esegui come amministratore
    • Eseguire come opzione utente diversa

In questo caso, viene visualizzato il seguente messaggio di errore:

Accesso negato

Causa

L'elenco di controllo di accesso discrezionale (DACL) per il servizio Accesso secondario non viene impostato correttamente quando si aggiorna Windows Server. Questo problema impedisce a un utente standard di avviare questo servizio e di eseguire un'applicazione come utente diverso.

Soluzione alternativa 1: usare l'utilità del prompt dei comandi Sc.exe

È possibile usare l'utilità del prompt dei comandi Sc.exe per impostare la sicurezza sulla configurazione predefinita dopo l'aggiornamento del server.

Nota

È consigliabile accedere come amministratore prima di eseguire questi comandi.

A tale scopo, seguire questa procedura:

  1. Aprire una finestra del prompt dei comandi.

  2. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    net stop seclogon

  3. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    Nota

    Questo comando è sottoposto a wrapping per la leggibilità.

  4. Chiudere la finestra del prompt dei comandi.

  5. Provare a usare una delle funzionalità seguenti:

    • runas comando
    • Opzione Esegui come amministratore
    • Eseguire come opzione utente diversa

    Assicurarsi inoltre di poter cambiare utente e che il servizio accesso secondario venga avviato correttamente.

Soluzione alternativa 2: Usare Criteri di gruppo

È possibile usare Criteri di gruppo Management Console per configurare un criterio basato su dominio che imposta la sicurezza sulla configurazione predefinita dopo l'aggiornamento del server. Per questa soluzione alternativa, è necessario creare un nuovo oggetto Criteri di gruppo (GPO). E deve essere collegato in modo che il nuovo oggetto Criteri di gruppo venga applicato solo ai computer interessati.

A tale scopo, seguire questa procedura:

  1. Modificare Criteri di gruppo nella console di gestione Criteri di gruppo.

  2. Individuare il criterio: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Servizi di sistema.

  3. Aprire il servizio Accesso secondario .

  4. Selezionare la casella di controllo Definisci questa impostazione di criterio e quindi selezionare Abilitato.

  5. Impostare la modalità di avvio del servizio su Manuale.

  6. Espandere il nodo Sicurezza per assicurarsi che le proprietà e gli oggetti seguenti siano impostati su Consenti.

    Proprietà Oggetti
    Utenti autenticati Modello di query, Stato query, Enumerazione dipendenti, Avvio, Sospensione e continuazione, Interroga, Autorizzazioni di lettura, controllo User-Defined
    Builtin\administrators Controllo completo
    Interattiva Modello di query, Stato query, Enumerazione dipendenti, Avvio, Sospensione e continuazione, Interroga, Autorizzazioni di lettura, controllo User-Defined
    Servizio Modello di query, Stato query, Enumerazione dipendenti, Sospensione e continuazione, Interroga, controllo User-Defined
    Sistema Modello di query, Stato query, Enumerate Dependents, Start, Pause e continue, Interrogate, Stop

  7. Selezionare OK per applicare le modifiche alla sicurezza.

  8. Selezionare OK per applicare le modifiche Criteri di gruppo.

  9. Applicare l'oggetto Criteri di gruppo ai computer interessati attendendo l'aggiornamento di Criteri di gruppo o avviando manualmente l'aggiornamento.

  10. Provare a usare una delle funzionalità seguenti:

    • runas comando
    • Opzione Esegui come amministratore
    • Eseguire come opzione utente diversa

    Assicurarsi inoltre di poter cambiare utente e che il servizio accesso secondario venga avviato correttamente.

Nota

Questa soluzione alternativa non è consigliata perché le autorizzazioni vengono riapplicate durante gli aggiornamenti Criteri di gruppo. Tuttavia, è necessario correggere la sicurezza errata solo una volta dopo l'aggiornamento.

Ulteriori informazioni

Per altre informazioni sul runas comando, visitare il seguente sito Web Microsoft TechNet:

Runas

Per altre informazioni su come usare Criteri di gruppo Management Console, visitare il seguente sito Web Microsoft TechNet:

Console Gestione Criteri di gruppo