El usuario del grupo administrador de dominio no puede acceder al directorio al que el grupo tiene permiso

Me he encontrado con un problema bastante interesante al jugar con uno de mis laboratorios de dominio.

Hay un directorio en un servidor de archivos 2008 R2 que se usa para la redirección de carpetas para todos los usuarios en la unidad organizativa "Staff". El directorio tiene los siguientes permisos establecidos:

• SERVIDOR DE ARCHIVOS \ Administradores: permite el control total del directorio, subdirectorios y archivos
• DOMINIO \ Administradores de dominio: permiten el control total del directorio, subdirectorios y archivos
• Usuarios autenticados: permite crear archivos, crear carpetas, escribir atributos y escribir atributos extendidos solo en el directorio superior

Además, el directorio también es un recurso compartido de red con "Permitir control total" para el grupo de usuarios autenticados.

Cuando el usuario john.doe, miembro del grupo de administradores de dominio, intenta acceder al directorio desde el servidor de archivos, recibe el error "Actualmente no tiene permiso para acceder a esta carpeta". Intentar acceder al recurso compartido de red desde el mismo servidor también produce un error de permiso denegado (aunque el usuario aún puede acceder a su propio directorio dentro del recurso compartido).

Acceder al recurso compartido desde otra computadora que inició sesión como el mismo usuario permite el acceso configurado

La única forma en que puede acceder a los archivos en el directorio mientras está conectado al servidor de archivos es abriendo un símbolo del sistema elevado. UAC está deshabilitado para todas las computadoras en el dominio a través de la Política de grupo (Ejecutar todos los administradores en modo de aprobación de administrador habilitado, y el comportamiento predeterminado configurado para elevar sin preguntar).

Todos los caminos apuntan al usuario al que se le permite el acceso, pero aún se le niega. ¿Algunas ideas?

Esto es por diseño. UAC elimina la credencial de administrador de cualquier proceso no elevado. Si está intentando utilizar un proceso no elevado para acceder a un recurso compartido remoto utilizando solo credenciales de administrador, UAC eliminará las credenciales de administrador del token de seguridad del proceso y el proceso recibirá un error de "acceso denegado".

Para remediar esto puedes:

1. No use credenciales de administrador para proteger la carpeta (cree un grupo genérico solo para este propósito), o

2. Deshabilite UAC en el servidor de archivos (no recomendado), o

3. Habilite la siguiente clave de registro en el servidor de archivos para deshabilitar solo esta parte de UAC.

Más información: Descripción del control de cuentas de usuario y restricciones remotas en Windows Vista

UAC está quitando las credenciales de administrador de dominio en el servidor, es parte de cómo funciona UAC (estúpidamente IMO). Una opción es desactivar UAC en el servidor por completo para no recibir el mensaje "Actualmente no tiene permiso para acceder a esta carpeta".

EDITAR: aquí hay un hilo de ejemplo por cierto: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: Sin embargo, la respuesta de John a continuación podría ser exactamente lo que estás buscando. Pruébelo e informe si puede.

La mejor manera es cambiar la clave de registro en

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

• Asegúrese de que esté configurado en Valor 0 para deshabilitar
• Debe reiniciar para que surta efecto.
• La interfaz puede mostrarlo como deshabilitado mientras el registro está habilitado