Fout wanneer u de opdracht runas, de optie Uitvoeren als administrator of de optie Uitvoeren als een andere gebruiker gebruikt nadat u een upgrade van Windows Server hebt uitgevoerd: toegang wordt geweigerd

  • Artikel

Dit artikel bevat enkele tijdelijke oplossingen voor een probleem waarbij u de opdracht, de runas optie Uitvoeren als beheerder of de optie Uitvoeren als een andere gebruiker niet kunt gebruiken nadat u Windows Server hebt bijgewerkt.

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 977513

Symptomen

Neem het volgende scenario:

  • U voert een upgrade uit op een computer waarop Windows Server wordt uitgevoerd.
  • U meldt zich aan als een standaardgebruiker.
  • U probeert een van de volgende functies te gebruiken:
    • runas opdracht
    • De optie Uitvoeren als administrator
    • Uitvoeren als een andere gebruikersoptie

In dit scenario wordt het volgende foutbericht weergegeven:

Toegang wordt geweigerd

Oorzaak

De discretionaire toegangsbeheerlijst (DACL) voor de secundaire aanmeldingsservice is niet correct ingesteld wanneer u een upgrade uitvoert van Windows Server. Dit probleem voorkomt dat een standaardgebruiker deze service start en een toepassing als een andere gebruiker uitvoert.

Tijdelijke oplossing 1: gebruik het opdrachtprompthulpprogramma Sc.exe

U kunt het opdrachtpromptprogramma Sc.exe gebruiken om de beveiliging in te stellen op de standaardconfiguratie nadat u de server hebt bijgewerkt.

Opmerking

U moet zich aanmelden als beheerder voordat u deze opdrachten uitvoert.

Ga hiervoor als volgt te werk:

  1. Open een opdrachtpromptvenster.

  2. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:

    net stop seclogon

  3. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:

    sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    Opmerking

    Deze opdracht is verpakt voor leesbaarheid.

  4. Sluit het opdrachtpromptvenster.

  5. Probeer een van de volgende functies te gebruiken:

    • runas opdracht
    • De optie Uitvoeren als administrator
    • Uitvoeren als een andere gebruikersoptie

    Zorg er ook voor dat u kunt schakelen tussen gebruikers en dat de secundaire aanmeldingsservice correct wordt gestart.

Tijdelijke oplossing 2: gebruik groepsbeleid

U kunt de groepsbeleid-beheerconsole gebruiken om een beleid op basis van een domein te configureren waarmee beveiliging wordt ingesteld op de standaardconfiguratie nadat u de server hebt bijgewerkt. Er moet een nieuw groepsbeleid-object (GPO) worden gemaakt voor deze tijdelijke oplossing. En het moet worden gekoppeld, zodat het nieuwe groepsbeleidsobject alleen wordt toegepast op de betrokken computers.

Ga hiervoor als volgt te werk:

  1. Bewerk groepsbeleid in de groepsbeleid-beheerconsole.

  2. Zoek het beleid: Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Systeemservices.

  3. Open de secundaire aanmeldingsservice .

  4. Schakel het selectievakje Deze beleidsinstelling definiëren in en selecteer vervolgens Ingeschakeld.

  5. Stel de opstartmodus van de service in op Handmatig.

  6. Vouw het knooppunt Beveiliging uit om ervoor te zorgen dat de volgende eigenschappen en objecten zijn ingesteld op Toestaan.

    Eigenschap Objecten
    Geverifieerde gebruikers Querysjabloon, Querystatus, Afhankelijkheden opsommen, Starten, Onderbreken en doorgaan, Interrogaat, Leesmachtigingen, User-Defined Besturingselement
    Builtin\administrators Volledig beheer
    Interactieve Querysjabloon, Querystatus, Afhankelijkheden opsommen, Starten, Onderbreken en doorgaan, Interrogaat, Leesmachtigingen, User-Defined Besturingselement
    Service Querysjabloon, Querystatus, Afhankelijkheden opsommen, Onderbreken en doorgaan, Ondervragen, User-Defined Control
    Systeem Querysjabloon, Querystatus, Afhankelijkheden opsommen, Starten, Onderbreken en doorgaan, Ondervragen, Stoppen

  7. Selecteer OK om de beveiligingswijzigingen toe te passen.

  8. Selecteer OK om de groepsbeleid wijzigingen toe te passen.

  9. Pas het groepsbeleidsobject toe op de betrokken computers door te wachten tot groepsbeleid is bijgewerkt of door de update handmatig te starten.

  10. Probeer een van de volgende functies te gebruiken:

    • runas opdracht
    • De optie Uitvoeren als administrator
    • Uitvoeren als een andere gebruikersoptie

    Zorg er ook voor dat u kunt schakelen tussen gebruikers en dat de secundaire aanmeldingsservice correct wordt gestart.

Opmerking

We raden deze tijdelijke oplossing niet aan omdat de machtigingen opnieuw worden toegepast tijdens groepsbeleid updates. U hoeft de onjuiste beveiliging echter slechts één keer na de upgrade te herstellen.

Meer informatie

Ga naar de runas volgende Microsoft TechNet-website voor meer informatie over de opdracht:

Runas

Ga naar de volgende Microsoft TechNet-website voor meer informatie over het gebruik van de groepsbeleid Management Console:

Console Groepsbeleidbeheer