Windows Server를 업그레이드한 후 runas 명령, 관리자 권한으로 실행 옵션 또는 다른 사용자로 실행 옵션을 사용하는 경우 오류 발생: 액세스가 거부됨

  • 아티클

이 문서에서는 Windows Server를 업그레이드한 후 명령, 관리자 권한으로 실행 옵션 또는 다른 사용자로 실행 옵션을 사용할 runas 수 없는 문제에 대한 몇 가지 해결 방법을 제공합니다.

적용 대상: Windows Server 2012 R2
원래 KB 번호: 977513

증상

다음과 같은 경우를 생각해볼 수 있습니다.

  • Windows Server를 실행하는 컴퓨터를 업그레이드합니다.
  • 표준 사용자로 로그인합니다.
  • 다음 기능 중 하나를 사용하려고 합니다.
    • runas 명령
    • 관리자 권한으로 실행 옵션
    • 다른 사용자 옵션으로 실행

이 경우 다음과 유사한 내용의 오류 메시지가 나타납니다.

액세스가 거부됨

원인

Windows Server를 업그레이드할 때 보조 로그온 서비스에 대한 DACL(임의 액세스 제어 목록)이 올바르게 설정되지 않습니다. 이 문제는 표준 사용자가 이 서비스를 시작하고 다른 사용자로 애플리케이션을 실행하는 것을 방지합니다.

해결 방법 1: Sc.exe 명령 프롬프트 유틸리티 사용

Sc.exe 명령 프롬프트 유틸리티를 사용하여 서버를 업그레이드한 후 보안을 기본 구성으로 설정할 수 있습니다.

참고

이러한 명령을 실행하기 전에 관리자 권한으로 로그온해야 합니다.

제거하려면 다음 단계를 수행합니다.

  1. 명령 프롬프트 창을 엽니다.

  2. 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    net stop seclogon

  3. 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    참고

    이 명령은 가독성을 위해 래핑됩니다.

  4. 명령 프롬프트 창을 닫습니다.

  5. 다음 기능 중 하나를 사용하세요.

    • runas 명령
    • 관리자 권한으로 실행 옵션
    • 다른 사용자 옵션으로 실행

    또한 사용자를 전환할 수 있고 보조 로그온 서비스가 올바르게 시작되는지 확인합니다.

해결 방법 2: 그룹 정책 사용

그룹 정책 관리 콘솔을 사용하여 서버를 업그레이드한 후 보안을 기본 구성으로 설정하는 도메인 기반 정책을 구성할 수 있습니다. 이 해결 방법을 위해 새 GPO(그룹 정책 개체)를 만들어야 합니다. 또한 새 GPO가 영향을 받는 컴퓨터에만 적용되도록 연결해야 합니다.

제거하려면 다음 단계를 수행합니다.

  1. 그룹 정책 관리 콘솔에서 그룹 정책 편집합니다.

  2. 컴퓨터 구성\정책\Windows 설정\보안 설정\시스템 서비스 정책을 찾습니다.

  3. 보조 로그온 서비스를 엽니다.

  4. 이 정책 설정 정의 검사 상자를 선택한 다음 사용을 선택합니다.

  5. 서비스 시작 모드를 수동으로 설정합니다.

  6. 보안 노드를 확장하여 다음 속성 및 개체가 허용으로 설정되어 있는지 확인합니다.

    속성 개체
    Authenticated Users 쿼리 템플릿, 쿼리 상태, 종속 항목 열거, 시작, 일시 중지 및 계속, 심문, 읽기 권한, User-Defined 제어
    Builtin\Administrators 모든 권한
    대화형 쿼리 템플릿, 쿼리 상태, 종속 항목 열거, 시작, 일시 중지 및 계속, 심문, 읽기 권한, User-Defined 제어
    서비스 쿼리 템플릿, 쿼리 상태, 종속 항목 열거, 일시 중지 및 계속, 심문, User-Defined 제어
    시스템 쿼리 템플릿, 쿼리 상태, 종속 항목 열거, 시작, 일시 중지 및 계속, 심문, 중지

  7. 확인을 선택하여 보안 변경 내용을 적용합니다.

  8. 확인을 선택하여 그룹 정책 변경 내용을 적용합니다.

  9. 그룹 정책 업데이트할 때까지 기다리거나 수동으로 업데이트를 시작하여 영향을 받는 컴퓨터에 GPO를 적용합니다.

  10. 다음 기능 중 하나를 사용하세요.

    • runas 명령
    • 관리자 권한으로 실행 옵션
    • 다른 사용자 옵션으로 실행

    또한 사용자를 전환할 수 있고 보조 로그온 서비스가 올바르게 시작되는지 확인합니다.

참고

그룹 정책 업데이트 중에 사용 권한이 다시 적용되므로 이 해결 방법은 권장하지 않습니다. 그러나 업그레이드 후 한 번만 잘못된 보안을 수정해야 합니다.

추가 정보

명령에 대한 runas 자세한 내용은 다음 Microsoft TechNet 웹 사이트를 참조하세요.

Runas

그룹 정책 관리 콘솔을 사용하는 방법에 대한 자세한 내용은 다음 Microsoft TechNet 웹 사이트를 참조하세요.

그룹 정책 관리 콘솔