Message d’erreur lorsque vous essayez d’utiliser la commande "runas », l’option « Exécuter en tant qu’administrateur » ou l’option « Exécuter en tant qu’utilisateur différent », une fois que vous mettez à niveau à partir de Windows Server 2003 ou Windows Server 2008 vers Windows Server 2008 R2 : « Accès refusé »

Symptômes

Considérez le scénario suivant :
  • Vous mettez à niveau un ordinateur qui exécute Windows Server 2003 ou Windows Server 2008 vers Windows Server 2008 R2.
  • Vous ouvrez une session en tant qu’utilisateur standard.
  • Vous essayez d’utiliser l’une des fonctionnalités suivantes :
    • commande runas
    • Option Exécuter en tant qu’administrateur
    • Option Exécuter en tant qu’autre utilisateur
Dans ce cas de figure, le message d’erreur suivant s’affiche :
L’accès est refusé.

Cause

Ce problème se produit car la liste de contrôle d’accès discrétionnaire (DACL) pour le service d’ouverture de session secondaire n’est pas définie correctement lorsque vous mettez à niveau à partir de Windows Server 2003 ou Windows Server 2008. Ce problème empêche un utilisateur standard de démarrer ce service et d’exécuter une application en tant qu’autre utilisateur.

Solution de contournement

Pour contourner ce problème, utilisez la solution la plus appropriée à partir de solutions de contournement suivantes.

Solution 1 : Utiliser l’utilitaire de ligne de commande Sc.exe

Vous pouvez utiliser l’utilitaire de ligne de commande Sc.exe pour définir la sécurité pour la configuration par défaut, une fois que vous mettez à niveau le serveur.

Remarque Vous devez vous connecter en tant qu’administrateur avant d’exécuter ces commandes.

Pour ce faire, procédez comme suit :
  1. Ouvrez une fenêtre d’invite de commande.
  2. À l’invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
    net stop seclogon
  3. À l’invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
    SC sdset seclogon d: (a ; cclcswrpwpdtlocrrc ; ; SY)(a;; ccdclcswrpwpdtlocrsdrcwdwo ; ; BA)(a;; cclcswrpdtlocrrc ; ; UI)(a;; cclcswdtlocrrc ; ; su)(a;; cclcswrpdtlocrrc ; ; au) s: (au ; immobilisation ; ccdclcswrpwpdtlocrsdrcwdwo ; WD)
    Remarque Cette commande est renvoyé à la ligne pour une meilleure lisibilité.
  4. Fermez la fenêtre d’invite de commandes.
  5. Essayez d’utiliser l’une des fonctionnalités suivantes :
    • commande runas
    • Option Exécuter en tant qu’administrateur
    • Option Exécuter en tant qu’autre utilisateur
    Assurez-vous également que vous pouvez changer d’utilisateur et que le service d’ouverture de session secondaire démarre correctement.

Solution 2 : Utiliser la stratégie de groupe

Vous pouvez utiliser la Console Gestion de stratégie de groupe pour configurer une stratégie basée sur le domaine qui définit la sécurité de la configuration par défaut après la mise à niveau du serveur. Un nouvel objet de stratégie de groupe (GPO) doit être créé pour cette solution de contournement et doit être lié afin que le nouvel objet GPO est appliqué aux seuls ordinateurs affectés.

Pour ce faire, procédez comme suit :
  1. Modifier la stratégie de groupe dans la Console Gestion de stratégie de groupe.
  2. Recherchez la stratégie suivante :
    Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de Sécurité\système
  3. Ouvrez le service d’Ouverture de session secondaire .
  4. Activez la case à cocher définir ce paramètre de stratégie , puis cliquez sur activé.
  5. Définir le mode de démarrage du service à manuel.
  6. Développez le nœud sécurité pour vous assurer que les propriétés et les objets suivants sont définis sur Autoriser.
    PropriétéObjets
    Utilisateurs authentifiésInterroger le modèle, l’état de la requête, énumérer les dépendants, Démarrer, suspendre et continuer, contrôle de défini par l’utilisateur Interrogate, autorisations de lecture,
    Builtin\AdministratorsContrôle total
    InteractiveInterroger le modèle, l’état de la requête, énumérer les dépendants, Démarrer, suspendre et continuer, contrôle de défini par l’utilisateur Interrogate, autorisations de lecture,
    ServiceModèle de requête, requête état, énumérer les dépendants, suspendre et continuer, Interrogate, contrôle de défini par l’utilisateur
    SystemInterroger le modèle, l’état de la requête, énumérer les dépendants, Démarrer, suspendre et continuer, Interrogate, arrêt
  7. Cliquez sur OK pour appliquer les modifications de sécurité.
  8. Cliquez sur OK pour appliquer les modifications de stratégie de groupe.
  9. Appliquer l’objet stratégie de groupe pour les ordinateurs affectés par l’attente de la stratégie de groupe mettre à jour ou en démarrant la mise à jour manuellement.
  10. Essayez d’utiliser une des fonctionnalités suivantes :
    • commande runas
    • Option Exécuter en tant qu’administrateur
    • Option Exécuter en tant qu’autre utilisateur
    Assurez-vous également que vous pouvez changer d’utilisateur et que le service d’ouverture de session secondaire démarre correctement.
Remarque Nous ne recommandons pas cette solution de contournement dans la mesure où les autorisations sont de nouveau appliquées pendant les mises à jour de la stratégie de groupe. Toutefois, vous devez corriger les paramètres de sécurité incorrects qu’une seule fois après la mise à niveau.

État

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Plus d'informations

Pour plus d’informations sur la commande runas , visitez le site Web Microsoft TechNet suivant :Pour plus d’informations sur l’utilisation de la Console Gestion de stratégie de groupe, visitez le site Web Microsoft TechNet suivant :
Propriétés

ID d'article : 977513 - Dernière mise à jour : 13 janv. 2017 - Révision : 1

Commentaires