runas コマンド、管理者として実行オプション、または Windows Server をアップグレードした後に別のユーザーとして実行するオプションを使用する場合にエラーが発生する: アクセスが拒否されました
この記事では、Windows Server をアップグレードした後にコマンド、管理者として実行オプション、または別のユーザーとして実行オプションを使用runas
できない問題の回避策について説明します。
適用対象: Windows Server 2012 R2
元の KB 番号: 977513
現象
次のような状況で問題が発生します。
- Windows Server を実行しているコンピューターをアップグレードします。
- 標準ユーザーとしてサインインします。
- 次のいずれかの機能を使用しようとします。
runas
コマンド- [管理者として実行] オプション
- 別のユーザー オプションとして実行する
このとき、次のエラー メッセージが表示されます。
アクセスが拒否される
原因
セカンダリ ログオン サービスの随意アクセス制御リスト (DACL) は、Windows Server をアップグレードするときに正しく設定されません。 この問題により、標準ユーザーがこのサービスを開始し、アプリケーションを別のユーザーとして実行できなくなります。
回避策 1: Sc.exe コマンド プロンプト ユーティリティを使用する
Sc.exe コマンド プロンプト ユーティリティを使用して、サーバーをアップグレードした後でセキュリティを既定の構成に設定できます。
注:
これらのコマンドを実行する前に、管理者としてログオンする必要があります。
そのために、以下の手順に従ってください。
コマンド プロンプト ウィンドウを開きます。
コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
net stop seclogon
コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
注:
このコマンドは読みやすくするためにラップされます。
コマンド プロンプト ウィンドウを閉じます。
次のいずれかの機能を使用してみてください。
runas
コマンド- [管理者として実行] オプション
- 別のユーザー オプションとして実行する
また、ユーザーを切り替えることができるか、セカンダリ ログオン サービスが正しく開始されていることを確認します。
回避策 2: グループ ポリシーを使用する
グループ ポリシー管理コンソールを使用して、サーバーをアップグレードした後にセキュリティを既定の構成に設定するドメイン ベースのポリシーを構成できます。 この回避策では、新しいグループ ポリシー オブジェクト (GPO) を作成する必要があります。 また、新しい GPO が影響を受けるコンピューターにのみ適用されるようにリンクする必要があります。
そのために、以下の手順に従ってください。
グループ ポリシー管理コンソールでグループ ポリシーを編集します。
ポリシーを見つけます: コンピューターの構成\Policies\Windows 設定\セキュリティ設定\System Services。
セカンダリ ログオン サービスを開きます。
[このポリシー設定のチェックを定義する] ボックスを選択し、[有効] を選択します。
サービスの起動モードを [手動] に設定します。
[セキュリティ] ノードを展開して、次のプロパティとオブジェクトが [許可] に設定されていることを確認します。
プロパティ オブジェクト Authenticated Users クエリ テンプレート、クエリの状態、依存項目の列挙、開始、一時停止、続行、問い合わせ、読み取りアクセス許可、User-Defined コントロール Builtin\Administrators フル コントロール 対話操作が可能 クエリ テンプレート、クエリの状態、依存項目の列挙、開始、一時停止、続行、問い合わせ、読み取りアクセス許可、User-Defined コントロール サービス クエリ テンプレート、クエリの状態、依存項目の列挙、一時停止、続行、問い合わせ、User-Defined コントロール System クエリ テンプレート、クエリの状態、依存項目の列挙、開始、一時停止、続行、問い合わせ、停止 [ OK] を選択 してセキュリティの変更を適用します。
[OK] を選択して、グループ ポリシーの変更を適用します。
グループ ポリシーの更新を待機するか、手動で更新を開始して、影響を受けるコンピューターに GPO を適用します。
次のいずれかの機能を使用してみてください。
runas
コマンド- [管理者として実行] オプション
- 別のユーザー オプションとして実行する
また、ユーザーを切り替えることができるか、セカンダリ ログオン サービスが正しく開始されていることを確認します。
注:
グループ ポリシー更新中にアクセス許可が再適用されるため、この回避策はお勧めしません。 ただし、正しくないセキュリティは、アップグレード後に 1 回だけ修正する必要があります。
詳細
コマンドの runas
詳細については、次の Microsoft TechNet Web サイトを参照してください。
グループ ポリシー管理コンソールの使用方法の詳細については、次の Microsoft TechNet Web サイトを参照してください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示