Fehler bei Verwendung des Befehls runas, der Option Als Administrator ausführen oder der Option Als anderer Benutzer ausführen nach dem Upgrade von Windows Server: Zugriff verweigert

  • Artikel

Dieser Artikel enthält einige Problemumgehungen für ein Problem, bei dem Sie den Befehl, die Option Als Administrator ausführen oder die Option Als anderer Benutzer ausführen nach dem Upgrade von Windows Server nicht verwenden runas können.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 977513

Problembeschreibung

Stellen Sie sich folgendes Szenario vor:

  • Sie aktualisieren einen Computer, auf dem Windows Server ausgeführt wird.
  • Sie melden sich als Standardbenutzer an.
  • Sie versuchen, eine der folgenden Features zu verwenden:
    • Befehl runas
    • Option "Als Administrator ausführen"
    • Option "Als anderer Benutzer ausführen "

In diesem Szenario wird die folgende Fehlermeldung angezeigt:

Zugriff verweigert

Ursache

Die daCL (Discretionary Access Control List) für den sekundären Anmeldedienst wird beim Upgrade von Windows Server nicht ordnungsgemäß festgelegt. Dieses Problem verhindert, dass ein Standardbenutzer diesen Dienst startet und eine Anwendung als anderer Benutzer ausführt.

Problemumgehung 1: Verwenden des Sc.exe-Eingabeaufforderungs-Hilfsprogramms

Sie können das Eingabeaufforderungshilfsprogramm Sc.exe verwenden, um die Sicherheit nach dem Upgrade des Servers auf die Standardkonfiguration festzulegen.

Hinweis

Sie sollten sich als Administrator anmelden, bevor Sie diese Befehle ausführen.

Führen Sie hierfür die folgenden Schritte aus:

  1. Öffnen Sie ein Eingabeaufforderungsfenster.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    net stop seclogon

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    Hinweis

    Dieser Befehl wird aus Gründen der Lesbarkeit umschlossen.

  4. Schließen Sie das Eingabeaufforderungsfenster.

  5. Versuchen Sie, eines der folgenden Features zu verwenden:

    • Befehl runas
    • Option "Als Administrator ausführen"
    • Option "Als anderer Benutzer ausführen "

    Stellen Sie außerdem sicher, dass Sie die Benutzer wechseln können und dass der Sekundäre Anmeldedienst ordnungsgemäß gestartet wird.

Problemumgehung 2: Verwenden von Gruppenrichtlinie

Sie können die Gruppenrichtlinie Management Console verwenden, um eine domänenbasierte Richtlinie zu konfigurieren, die nach dem Upgrade des Servers die Sicherheit auf die Standardkonfiguration festlegt. Für diese Problemumgehung sollte ein neues Gruppenrichtlinie-Objekt (GPO) erstellt werden. Und es sollte verknüpft werden, damit das neue Gruppenrichtlinienobjekt nur auf die betroffenen Computer angewendet wird.

Führen Sie hierfür die folgenden Schritte aus:

  1. Bearbeiten Sie Gruppenrichtlinie in der Gruppenrichtlinie Management Console.

  2. Suchen Sie die Folgende Richtlinie: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste.

  3. Öffnen Sie den sekundären Anmeldedienst .

  4. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren , und wählen Sie dann Aktiviert aus.

  5. Legen Sie den Startmodus des Diensts auf Manuell fest.

  6. Erweitern Sie den Knoten Sicherheit , um sicherzustellen, dass die folgenden Eigenschaften und Objekte auf Zulassen festgelegt sind.

    Eigenschaft Objekte
    Authentifizierte Benutzer Abfragevorlage, Abfragestatus, Abhängige Auflisten, Starten, Anhalten und Fortfahren, Abfragen, Leseberechtigungen, User-Defined Control
    Vordefiniert\administratoren Vollzugriff
    Interaktiv Abfragevorlage, Abfragestatus, Abhängige Auflisten, Starten, Anhalten und Fortfahren, Abfragen, Leseberechtigungen, User-Defined Control
    Dienst Abfragevorlage, Abfragestatus, Abhängige Auflisten, Anhalten und Fortfahren, Abfragen, User-Defined Control
    System Abfragevorlage, Abfragestatus, Abhängige Auflisten, Starten, Anhalten und Fortfahren, Abfragen, Beenden

  7. Wählen Sie OK aus, um die Sicherheitsänderungen anzuwenden.

  8. Wählen Sie OK aus, um die Gruppenrichtlinie Änderungen anzuwenden.

  9. Wenden Sie das Gruppenrichtlinienobjekt auf die betroffenen Computer an, indem Sie auf die Aktualisierung von Gruppenrichtlinie warten oder das Update manuell starten.

  10. Versuchen Sie, eines der folgenden Features zu verwenden:

    • Befehl runas
    • Option "Als Administrator ausführen"
    • Option "Als anderer Benutzer ausführen "

    Stellen Sie außerdem sicher, dass Sie die Benutzer wechseln können und dass der Sekundäre Anmeldedienst ordnungsgemäß gestartet wird.

Hinweis

Wir empfehlen diese Problemumgehung nicht, da die Berechtigungen während Gruppenrichtlinie Updates erneut angewendet werden. Sie müssen die falsche Sicherheit jedoch nur einmal nach dem Upgrade beheben.

Weitere Informationen

Weitere Informationen zum runas Befehl finden Sie auf der folgenden Microsoft TechNet-Website:

Runas

Weitere Informationen zur Verwendung der Gruppenrichtlinie Management Console finden Sie auf der folgenden Microsoft TechNet-Website:

Gruppenrichtlinien-Verwaltungskonsole