O usuário no grupo de administradores do domínio não pode acessar o diretório ao qual o grupo tem permissão para acessar

Eu me deparei com um problema bastante interessante ao brincar com um dos meus laboratórios de domínio.

Há um diretório em um servidor de arquivos 2008 R2 que está sendo usado para o redirecionamento de pasta para todos os usuários na UO "Equipe". O diretório tem as seguintes permissões definidas:

• FILESERVER \ Administradores: permite controle total para o diretório, subdiretórios e arquivos
• DOMÍNIO \ Admins. Do Domínio: permita controle total ao diretório, subdiretórios e arquivos
• Usuários autenticados: permitem criar arquivos, criar pastas, gravar atributos e gravar atributos estendidos apenas no diretório superior

Além disso, o diretório também é um compartilhamento de rede com "Permitir controle total" no grupo Usuários Autenticados.

Quando o usuário john.doe, membro do grupo de administradores de domínio, tenta acessar o diretório a partir do servidor de arquivos, ele recebe o erro "No momento, você não tem permissão para acessar esta pasta". Tentar acessar o compartilhamento de rede do mesmo servidor também resulta em um erro de permissão negada (embora o usuário ainda possa acessar seu próprio diretório dentro do compartilhamento).

O acesso ao compartilhamento de outro computador conectado como o mesmo usuário permite o acesso configurado.

A única maneira de acessar os arquivos no diretório enquanto estiver conectado ao servidor de arquivos é abrindo um prompt de comando elevado. O UAC está desabilitado para todos os computadores no domínio por meio da Diretiva de Grupo (execute todos os administradores no modo de Aprovação de Administrador ativado e o comportamento padrão definido como elevado sem aviso).

Todas as estradas apontam para o acesso do usuário, mas ele ainda está sendo negado. Alguma ideia?

Isso ocorre por design. O UAC retira a credencial de administrador de qualquer processo não elevado. Se você estiver tentando usar um processo não elevado para acessar um compartilhamento remoto usando apenas credenciais de administrador, o UAC retirará as credenciais de administrador do token de segurança do processo e o processo receberá um erro de "acesso negado".

Para remediar isso, você pode:

1. Não use credenciais de administrador para proteger a pasta (crie um grupo genérico apenas para essa finalidade) ou

2. Desative o UAC no servidor de arquivos (não recomendado) ou

3. Habilite a seguinte chave do Registro no servidor de arquivos para desabilitar apenas essa parte do UAC.

Mais informações: Descrição do controle de conta de usuário e restrições remotas no Windows Vista

O UAC está retirando as credenciais de administrador de domínio no próprio servidor, é parte de como o UAC (estupidamente IMO) funciona. Uma opção é desativar o UAC no servidor completamente para não receber o prompt "No momento, você não tem permissão para acessar esta pasta".

EDIT: aqui está um exemplo de thread btw: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: A resposta de John abaixo pode ser exatamente o que você está procurando. Experimente e relate se puder.

A melhor maneira é alterar a chave do registro em

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

• Verifique se está definido como Valor 0 para desativar
• Você precisa reiniciar para que ele entre em vigor.
• A interface pode mostrá-lo como desativado enquanto o registro está ativado