Fehlermeldung beim Verwenden des Befehls "Runas" die Option "Ausführen als Administrator" oder die Option "Ausführen als anderer Benutzer" nach der Aktualisierung von Windows Server 2003 oder Windows Server 2008, Windows Server 2008 R2: "Zugriff verweigert"

Problembeschreibung

Betrachten Sie das folgende Szenario:
  • Sie aktualisieren einen Computer mit Windows Server 2003 oder Windows Server 2008, Windows Server 2008 R2.
  • Sie Anmelden als Standardbenutzer.
  • Sie versuchen, eines der folgenden Features verwenden:
    • Runas (Befehl)
    • Option als Administrator ausführen
    • Die Option Ausführen als anderer Benutzer
In diesem Szenario wird die folgende Fehlermeldung angezeigt:
Zugriff verweigert

Ursache

Dieses Problem tritt auf, weil die besitzerverwaltete Zugriffssteuerungsliste (DACL) für den sekundären Anmeldedienst beim Aktualisieren von Windows Server 2003 oder Windows Server 2008 nicht korrekt festgelegt wird. Dieses Problem verhindert, dass Standardbenutzer diesen Dienst starten und Ausführen einer Anwendung als ein anderer Benutzer.

PROBLEMUMGEHUNG

Um dieses Problem zu umgehen, verwenden Sie am besten geeignete Lösung aus folgenden Abhilfen.

Abhilfemaßnahme 1: Verwenden Sie das Befehlszeilen-Dienstprogramm Sc.exe

Das Befehlszeilen-Dienstprogramm Sc.exe können Sie Sicherheit auf die Standardkonfiguration festgelegt, nach der Aktualisierung des Servers.

Hinweis Sie sollten als Administrator anmelden, bevor Sie diese Befehle ausführen.

Gehen Sie hierzu folgendermaßen vor:
  1. Öffnen Sie ein Eingabeaufforderungsfenster.
  2. Geben Sie den folgenden Befehl in der Eingabeaufforderung ein und drücken Sie die EINGABETASTE:
    Net Stop seclogon
  3. Geben Sie den folgenden Befehl in der Eingabeaufforderung ein und drücken Sie die EINGABETASTE:
    sc Sdset Seclogon d: (a; Cclcswrpwpdtlocrrc;; Sy)(a;; Ccdclcswrpwpdtlocrsdrcwdwo;; BA)(a;; Cclcswrpdtlocrrc;; IE)(a;; Cclcswdtlocrrc;; Su)(a;; Cclcswrpdtlocrrc;; s: AU) (au Fa; Ccdclcswrpwpdtlocrsdrcwdwo; WD)
    Hinweis Dieser Befehl wird zur besseren Lesbarkeit umgebrochen.
  4. Schließen Sie das Eingabeaufforderungsfenster.
  5. Versuchen Sie eines der folgenden Features verwenden:
    • Runas (Befehl)
    • Option als Administrator ausführen
    • Die Option Ausführen als anderer Benutzer
    Stellen Sie außerdem sicher, dass Benutzer wechseln können und der sekundäre Anmeldedienst ordnungsgemäß gestartet wird.

Abhilfemaßnahme 2: Verwenden von Gruppenrichtlinien

Die Gruppenrichtlinien-Verwaltungskonsole können Sie eine domänenbasierte Richtlinie konfigurieren, die nach der Aktualisierung des Servers wird die Sicherheit auf die Standardkonfiguration. Ein neues Gruppenrichtlinienobjekt (GPO) sollte für diese Lösung erstellt und verknüpft werden soll, sodass das Gruppenrichtlinienobjekt auf den betroffenen Computern angewendet wird.

Gehen Sie hierzu folgendermaßen vor:
  1. Bearbeiten von Gruppenrichtlinien in der Gruppenrichtlinien-Verwaltungskonsole.
  2. Suchen Sie die folgende Richtlinie:
    Computer Computerkonfiguration\Richtlinien\Windows-Einstellungen\sicherheitseinstellungen\systemdienste
  3. Öffnen Sie den Sekundären Anmeldedienst.
  4. Aktivieren Sie das Kontrollkästchen diese Einstellung , und klicken Sie auf aktiviert.
  5. Den Startmodus des Diensts auf manuellfestgelegt
  6. Erweitern Sie den Knoten Sicherheit sicherstellen, dass die folgenden Eigenschaften und Objekte auf Zulassenfestgelegt sind.
    EigenschaftObjekte
    Authentifizierte BenutzerAbfrage Vorlage Status Abfragen auflisten Nachfolgerzellen starten, Anhalten und fortsetzen Interrogate Leseberechtigungen Benutzersteuerelement definiert
    Builtin\AdministratorsVollzugriff
    InteraktiveAbfrage Vorlage Status Abfragen auflisten Nachfolgerzellen starten, Anhalten und fortsetzen Interrogate Leseberechtigungen Benutzersteuerelement definiert
    DienstFragen Sie Vorlage ab, Fragen Sie Status auflisten Nachfolgerzellen anhalten ab und fortfahren Sie Interrogate, Benutzersteuerelement definiert
    SystemAbfrage Vorlage Status Abfragen auflisten Nachfolgerzellen starten, Anhalten und fortsetzen, Interrogate, beenden
  7. Klicken Sie auf OK , um die Sicherheit zu verwenden.
  8. Klicken Sie auf OK , um die Gruppenrichtlinien zu verwenden.
  9. Anzuwenden Sie das Gruppenrichtlinienobjekt auf den betroffenen Computern, Aktualisieren der Gruppenrichtlinie warten oder das Update manuell starten.
  10. Versuchen Sie eines der folgenden Features verwenden:
    • Runas (Befehl)
    • Option als Administrator ausführen
    • Die Option Ausführen als anderer Benutzer
    Stellen Sie außerdem sicher, dass Benutzer wechseln können und der sekundäre Anmeldedienst ordnungsgemäß gestartet wird.
Hinweis Diese Lösung wird nicht empfohlen, da die Berechtigungen während der Aktualisierung von Gruppenrichtlinien angewendet werden. Sie müssen jedoch die falsche Sicherheitspatch nach der Aktualisierung nur einmal.

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Weitere Informationen

Weitere Informationen zum Befehl Runas finden Sie auf der folgenden Microsoft TechNet Web Site:Weitere Informationen zur Verwendung der Gruppenrichtlinien-Verwaltungskonsole finden Sie auf der folgenden Microsoft TechNet Web Site:
Eigenschaften

Artikelnummer: 977513 – Letzte Überarbeitung: 13.01.2017 – Revision: 1

Feedback