Error when you use the runas command after upgrade Windows Server: Access is denied
Windows Server 2012 R2 sunucusunu, Windows Server 2016 veya Windows Server 2019’a upgrade ettikten sonra Run as Administrator / Run as a different user ile açmaya calıştıgınız MMC konsollarında yetkiniz oldugu halde Access is Denied hatası almanız muhtemel. Bu durumun sebebi, Windows Server upgrade sonrası discretionary access control list (DACL)‘in düzgün çalışmaması, bir bakıma bozulması. Secondary Logon hizmetinin devreye girememesi de diyebiliriz.
Bu durumun çözümü için iki adet workaround mevcut. Bunlardan ilki, SC.exe kullanılarak Windows Server upgrade sonrası DACL’in default konfigürasyon olarak ayarlanması.
net stop seclogon ile seclogon servisini durduruyoruz.
Aşağıdaki komutu çalıştırıyoruz.
1 |
sc sdset seclogon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPDTLOCRRC;;;IU)(A;;CCLCSWDTLOCRRC;;;SU)(A;;CCLCSWRPDTLOCRRC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) |
İkincil çözüm olarak her ne kadar tavsiye edilmese de GPO kullanılabilir. Tavsiye edilmeme sebebi, her seferinde DACL Security ayarlarının tekrar uygulanması. Kısaca, Seclogon servisini manuel olarak ayarlarıp, security permissionları düzenliyorsunuz. Detay aşağıda yer almaktadır.